Zakres
W niniejszej IEC 62351 określono zarządzanie kluczami kryptograficznymi, koncentrując się przede wszystkim na zarządzaniu kluczami długoterminowymi, którymi najczęściej są pary kluczy asymetrycznych, takie jak certyfikaty kluczy publicznych i odpowiadające im klucze prywatne. Ponieważ certyfikaty budują podstawę, dokument ten buduje fundament dla wielu usług IEC 62351 (patrz również Załącznik A). Rozważane jest także zarządzanie kluczami symetrycznymi, ale tylko w odniesieniu do kluczy sesyjnych dla komunikacji grupowej, jakie zastosowano w IEC 62351-6. Celem niniejszego dokumentu jest zdefiniowanie wymagań i technologii dla osiągnięcia interoperacyjności zarządzania kluczami poprzez określenie lub ograniczenie stosowanych opcji zarządzania kluczami.
W niniejszym dokumencie założono, że organizacja (lub grupa organizacji) określiła politykę bezpieczeństwa w celu wybrania rodzaju kluczy i algorytmów kryptograficznych, które będą stosowane, a które mogą być zgodne z innymi normami lub wymaganiami prawnymi. Dlatego w niniejszym dokumencie określono jedynie techniki zarządzania wybranymi kluczami i infrastrukturami kryptograficznymi. W niniejszym dokumencie założono, że czytelnik posiada podstawową wiedzę na temat kryptografii i zasad zarządzania kluczami. Wymagania dotyczące zarządzania parami kluczy symetrycznych (sesyjnych) w kontekście protokołów komunikacyjnych są określone w częściach IEC 62351 wykorzystujących parami klucze komunikacyjne lub je określających, takich jak:
• IEC 62351-3 dla TLS poprzez profilowanie opcji TLS;
• IEC 62351-4 dla profili bezpieczeństwa end-to-end warstwy aplikacji;
• IEC TS 62351-5 dla mechanizmu bezpieczeństwa warstwy aplikacji dla IEC 60870-5-101/104 i IEEE 1815 (DNP3).
Wymagania dotyczące zarządzania grupowymi kluczami symetrycznymi w kontekście protokołów komunikacyjnych systemu elektroenergetycznego zostały określone w IEC 62351-6 dla wykorzystania bezpieczeństwa grupowego do ochrony komunikacji GOOSE i SV. W IEC 62351-9 wykorzystano GDOI jako już określony przez IETF protokół zarządzania kluczami grupowymi do zarządzania parametrem bezpieczeństwa grupowego i rozszerza ten protokół do przenoszenia parametru bezpieczeństwa dla GOOSE, SV i PTP.
W niniejszym dokumencie zdefiniowano również zdarzenia bezpieczeństwa dla specyficznych warunków, które mogą identyfikować problemy wymagające obsługi błędów. Jednak działania organizacji w odpowiedzi na te błędy wykraczają poza zakres niniejszego dokumentu i powinny być zdefiniowane przez politykę bezpieczeństwa organizacji.
W przyszłości, gdy kryptografia z kluczem publicznym stanie się zagrożona w wyniku rozwoju komputerów kwantowych, niniejszy dokument będzie w pewnym stopniu uwzględniał również kryptografię post-kwantową. Należy zauważyć, że w chwili obecnej nie podano żadnych konkretnych środków.
