Qu'est-ce que la gestion de clés?
La gestion de clé est le processus de contrôle d'accès et de vérification des clés dans un système cryptographique. En cryptographie, les informations sont brouillées à l’aide d’un chiffrement. Ce chiffeur mélange les informations de manière très spécifique, ce qui permet à toute personne disposant de la clé appropriée de déchiffrer les données et de les rétablir sous leur forme d'origine. Une gestion correcte des clés est essentielle pour conserver les clés aux emplacements où elles doivent se trouver et pour vérifier que les clés sont correctes avant de décoder les informations.
Les clés constituent le maillon le plus faible d'un système cryptographique. Il est possible de créer un code si sournois ou complexe qu'il ne soit jamais cassé, mais si personne ne peut le déchiffrer, toute information codée est perdue. Pour que le code fonctionne correctement, il nécessite une clé. Chaque endroit où le code nécessitera un décodage nécessite une copie, et chacun de ces emplacements est un endroit où la clé peut être utilisée de manière abusive.
Afin d'éviter le vol ou la contrefaçon de clés, la cryptographie utilise deux méthodes. planification et gestion des clés. Une planification de clé est l'aspect interne d'une clé dans le matériau encodé. Ces clés interagissent souvent avec les personnes extérieures pour vérifier l'authenticité de la clé et générer des sous-clés pour accéder aux données codées dans les données codées. Puisque les planifications de clés nécessitent généralement une clé authentique pour fonctionner, elles sont souvent considérées comme des clés à faible risque.
Au niveau de base, la gestion des clés consiste à sécuriser l’accès à la clé lorsque celle-ci est inactive et utilisée. Dans un système commun, les clés sont conservées dans un emplacement hors ligne sécurisé. Avant les ordinateurs, il s’agissait souvent d’une zone à accès restreint - c’est maintenant qu’il s’agit généralement d’un système informatique non mis en réseau. Lorsque la clé est nécessaire, le serveur de clés se connecte au réseau, saisit les informations appropriées et se déconnecte. Ce n’est que pendant l’utilisation réelle des clés que les systèmes se connecteront. Cela limite le temps qu'un voleur potentiel peut utiliser pour accéder au système.
Un système de gestion de clé va au-delà de l'information. Une gestion appropriée implique de limiter l'accès personnel aux emplacements de stockage de clés, aux mises à jour de clés aléatoires et aux serveurs de stockage de clés codées. Un véritable système de gestion implique tous les aspects de l'accès au réseau et de la gestion du personnel. En conséquence, les systèmes de gestion de clés à grande échelle sont difficiles à mettre en œuvre et coûteux à superviser.
Ce problème est souvent aggravé par une erreur humaine. Les travailleurs mal formés sous-estiment la restriction de l'accès aux clés et laissent les voies ouvertes au vol. La supervision des départements aura souvent des conflits, car la gestion des clés relève potentiellement des départements de la technologie de l’information, de la comptabilité et de la sécurité interne. Cela aura pour conséquence que le système aura trop de gestionnaires, ce qui créera des conflits de règles, ou trop peu, car chaque service estime que l'autre le contrôle.