Zarządzanie kluczami to proces kontroli dostępu i weryfikacji kluczy w systemie kryptograficznym. W kryptografii informacje są szyfrowane za pomocą szyfru. Ten szyfr miesza informacje w bardzo specyficzny sposób, który pozwala każdemu, kto ma odpowiedni klucz, rozszyfrować dane i przywrócić je do pierwotnej postaci. Właściwe zarządzanie kluczami jest niezbędne do przechowywania kluczy w miejscach, w których powinny się znajdować, oraz do sprawdzania, czy klucze są poprawne przed dekodowaniem informacji.
Klucze są najsłabszym ogniwem w systemie kryptograficznym. Możliwe jest stworzenie kodu, który jest tak przebiegły lub złożony, że może nigdy nie zostać złamany, ale jeśli nikt nie może go rozszyfrować, wszelkie zaszyfrowane informacje zostaną utracone. Aby kod działał poprawnie, potrzebuje klucza. Każde miejsce, w którym kod będzie wymagał dekodowania, wymaga jego kopii, a każda z tych lokalizacji jest miejscem, w którym klucz może zostać nadużyty.
Aby zapobiec kradzieży lub podrobieniu kluczy, kryptografia wykorzystuje dwie metody; planowanie kluczy i zarządzanie kluczami. Harmonogram kluczy to wewnętrzny aspekt klucza w zaszyfrowanym materiale. Klucze te często współdziałają z tymi na zewnątrz, aby zweryfikować autentyczność klucza i wygenerować podklucze, aby uzyskać dostęp do zaszyfrowanych danych w zaszyfrowanych danych. Ponieważ harmonogramy kluczy zazwyczaj wymagają autentycznego klucza do działania, często są one postrzegane jako klucze niskiego ryzyka.
Na poziomie podstawowym zarządzanie kluczami odnosi się do zabezpieczania dostępu do klucza, gdy jest on bezczynny i gdy jest używany. W powszechnym systemie klucze są przechowywane w bezpiecznej lokalizacji offline. Przed komputerami często był to obszar o ograniczonym dostępie — teraz jest to zwykle system komputerowy bez sieci. Gdy klucz jest potrzebny, serwer kluczy połączy się z siecią, wprowadzi odpowiednie informacje i się rozłączy. Dopiero podczas rzeczywistego użycia klucza systemy będą się łączyć. Ogranicza to czas, w którym potencjalny złodziej może uzyskać dostęp do systemu.
System zarządzania kluczami wykracza poza informacje. Właściwe zarządzanie obejmuje ograniczenie osobistego dostępu do lokalizacji przechowywania kluczy, losowe aktualizacje kluczy i zaszyfrowane serwery przechowywania kluczy. Prawdziwy system zarządzania obejmuje każdy aspekt dostępu do sieci i zarządzania personelem. W rezultacie wielkoskalowe systemy zarządzania kluczami są trudne do wdrożenia i kosztowne do nadzorowania.
Ten problem jest często potęgowany przez błąd człowieka. Niewłaściwie przeszkoleni pracownicy nie docenią ograniczenia dostępu do kluczy i pozostawią otwarte możliwości kradzieży. Nadzór departamentu często będzie powodował konflikty, ponieważ zarządzanie kluczami potencjalnie wchodzi w zakres kompetencji wydziałów technologii informacyjnej, księgowości i bezpieczeństwa wewnętrznego. Spowoduje to, że system będzie miał zbyt wielu menedżerów, powodując konflikty polityki, lub zbyt mało, ponieważ każdy dział uważa, że drugi ma nad nim kontrolę.