Správa kryptografických klíčů¶
Přehled¶
MazeVault implementuje komplexní správu životního cyklu kryptografických klíčů v souladu s NIST SP 800-57 a dalšími bezpečnostními standardy. Systém podporuje generování, ukládání, distribuci, rotaci a bezpečné zničení klíčů.
Životní cyklus klíče (NIST 800-57)¶
| Stav | Popis | Operace |
|---|---|---|
| Pre-aktivní | Klíč vygenerován, dosud nepoužit | Generování, záloha |
| Aktivní | Klíč v aktivním použití | Šifrování, podepisování, ověřování |
| Deaktivovaný | Klíč stažen z aktivního použití | Pouze dešifrování/ověřování |
| Kompromitovaný | Klíč potenciálně ohrožen | Revokace, výměna |
| Zničený | Klíč bezpečně smazán | Žádné operace |
Ukládání klíčů¶
Interní úložiště¶
Všechny privátní klíče jsou šifrovány pomocí AES-256-GCM před uložením do databáze. Šifrovací klíč (master key) je odvozen z konfigurace serveru a nikdy není uložen v databázi.
HSM integrace¶
MazeVault podporuje Hardware Security Modules pro nejvyšší úroveň ochrany klíčů:
| HSM Provider | Podpora | Použití |
|---|---|---|
| AWS CloudHSM | ✅ | Generování a ukládání klíčů CA |
| Azure Key Vault HSM | ✅ | Managed HSM pro klíče CA |
| Google Cloud HSM | ✅ | Cloud KMS s HSM backendem |
| PKCS#11 | ✅ | On-premise HSM (Thales, Utimaco) |
Vzdálené úložiště klíčů¶
Pro certifikáty nasazené na vzdálených serverech MazeVault podporuje dva režimy:
- Vzdálené úložiště — Privátní klíč zůstává na cílovém serveru, MazeVault spravuje pouze certifikát
- Interní trezor — Privátní klíč importován do šifrovaného úložiště MazeVault
Rotace klíčů¶
Automatická rotace certifikátů¶
Certifikáty mohou být automaticky obnovovány s volbou politiky klíče:
| Politika | Popis | Použití |
|---|---|---|
| Regenerovat | Nový klíčový pár při každé obnově | Doporučeno pro produkci |
| Znovu použít | Stejný klíč s novým certifikátem | Pro systémy s pinningem klíče |
Rotace klíčů CA¶
Kořenové a podřízené CA klíče mají delší životní cyklus:
- Kořenová CA: 10-20 let
- Podřízená CA: 5-10 let
- Koncový certifikát: 90 dní - 1 rok
Distribuce klíčů¶
Podporované formáty¶
| Formát | Přípona | Použití |
|---|---|---|
| PEM | .pem, .crt, .key |
Linux/Unix servery, Nginx, Apache |
| DER | .der, .cer |
Windows, Java |
| PKCS#12/PFX | .pfx, .p12 |
Windows, IIS, Java keystores |
| JKS | .jks |
Java aplikace, WebLogic, Tomcat |
| PKCS#7 | .p7b |
Řetězce certifikátů |
Cílové systémy¶
MazeVault může distribuovat certifikáty a klíče do:
- Azure Key Vault — Automatická synchronizace
- Kubernetes Secrets — TLS secrets pro Ingress
- Souborový systém — Přes MazeVault Agent
- Java Keystores — JKS/PKCS12 přes Agent
- Windows Certificate Store — Přes Agent
- Oracle Wallet — Pro databázové TLS
- IIS — Binding certifikátů
Shoda s předpisy¶
| Předpis | Kontrola | Implementace |
|---|---|---|
| PCI DSS 3.6.1 | Generování klíčů | Kryptograficky bezpečný generátor |
| PCI DSS 3.6.3 | Distribuce klíčů | Šifrovaný přenos přes mTLS |
| PCI DSS 3.6.4 | Rotace klíčů | Automatická rotace s konfigurovatelným intervalem |
| PCI DSS 3.6.5 | Stažení klíčů | Deaktivace a archivace |
| SOC 2 CC6.7 | Ochrana při přenosu | TLS 1.2+ pro veškerou komunikaci |
| SOC 2 CC6.8 | Rotace klíčů | Plně automatizovaná |
| NIST 800-57 | Životní cyklus klíčů | Všechny stavy implementovány |
| eIDAS | Kvalifikované certifikáty | Podpora I.CA a dalších QTSP |
Audit¶
Všechny operace s klíči jsou zaznamenány v audit logu:
- Generování klíče
- Export klíče
- Import klíče
- Rotace klíče
- Revokace certifikátu
- Nasazení certifikátu
- Smazání klíče