Sayısallaşan dünyada sayısal verilerin artması, daha fazla transfer edilmesi ihtiyacının oluşmasına ve doğal olarak da daha fazla saldırıya maruz kalmasına sebebiyet vermektedir. Şifreleme uzun yıllardır araştırmaların yapıldığı farklı yapılarda ve çeşitli algoritmaların oluşturulduğu bir bilim dalıdır. Günümüz teknolojisinde ortaya çıkan simetrik ve asimetrik şifreleme algoritmalarının temel sorunu güvenilir şifre oluşturma ve şifre yönetimidir. Her ikisi de belirli bir süreç ve kurallar dahilinde yönetilirse şifrelemenin güvenilir olduğu sonucuna varılabilir. Diğer türlü anahtar oluşturma ve yönetme süreçleri olmayan şifreleme yöntemleri kurumları korumaktan uzaktır.
Hem simetrik hem de asimetrik şifreleme yöntemlerinde anahtarların oluşturma ve imha etme yöntemleri, iletilmesi, yenileme prosedürleri, güvenirliğinin sağlanması gibi konular kurumsal bir süreç haline getirilmeli bu konuda yetkiler ve yetkililer iyi planlanmalıdır.
Anahtarlar yönetiminde üç önemli faktör değişim, depolama ve kullanımdır.
Anahtar değişimi anahtar oluşturma, taşıma ve paylaşım, anahtar kullanımını izleme ve kontrol etme gibi süreçleri içine alır.
Anahtar depolama anahtarın kullanımı boyunca yetkili kişiler elinde güvenli bir şekilde saklanılması süreçlerini içine alır.
Anahtar kullanımı anahtarın yetkiler dahilinde kullanımını, erişim ve kullanım kayıtlarını zamanı geldiğinde kullanım dışı bırakılma süreçlerini kapsar.
Bu işlemlerin tümünü sağlayan ve destekleyen şifreleme anahtarı yönetim sistemleri entegre çözümler sunmaktadır. Hem açık kaynak kodlu hem de kapalı kaynak kodlu şifreleme anahtarı yönetim sistemleri mevcuttur. Anahtar yönetimi standart olmaya başlayınca sistemlerin birlikte çalışabilmesi için bir protokol tasarlanarak (KMIP) yönetim sistemlerinin birbirlerini desteklemesi sağlanmıştır.
Bir kurumun anahtar yönetiminde karşılaşacağı güvenlik problemleri şunlardır
Fiziksel güvenlik anahtar yönetimini çalıştıran cihazlara ve ağa fiziksel erişimin engellenmesi işlemlerini kapsar
Mantıksal güvenlik anahtar kullanılarak yetkisiz erişimin engellenmesi işlemlerini kapsar
Kişisel güvenlik anahtarı ve anahtar yönetim sistemini kullanacak kişilerin rollerinin yetki ve görevlerinin belirlenmesi ve kişilerin güvenilirliğinin test edilmesi işlemlerini kapsar.