1. Юридические вопросы.
Правительство Соединенных Штатов и правительства других стран относятся к технологиям шифрования, как к видам вооружения. Поэтому правительства принимают законы для ограничения использования криптографии, а также экспорта криптографических технологий и оборудования.
В 1996 году администрация Клинтона стала смягчать законодательство в области криптографии. Полномочия проведения этой политики были переданы в Бюро по экспорту (ВХА). Новый подход к политике изменил общие стандарты применения шифрования, а также упростил лицензирование и процедуры предоставления льгот.
Международные законы базируются на постановлениях "Вассенаарского соглашения", многостороннего международного соглашения, в котором определены меры контроля над экспортом для типов вооружений, включая криптографию. Несмотря на то, что решения Вассенаарского соглашения не являются обязательными для исполнения, страны-участники разработали постановления на основе большей части этих рекомендаций.
Хотя предполагается, что зашифрованные данные должны быть секретными, правовые органы могут официально получить полномочия исследовать системы организации или контролировать зашифрованные пересылки по сети. Если организация принимает участие в программе изъятия ключей, ключи могут быть восстановлены без участия вашей организации.
2. Управление криптографией.
В некоторых организациях требуют, чтобы руководство утверждало применение криптографических средств. В свою очередь руководство возьмет на себя ответственность за выдачу разрешений на использование шифрования только после выяснения всех юридических вопросов.
Если организация имеет договор с федеральным правительством, то управление шифрованием должно соответствовать опубликованным государственным стандартам.
В правилах могут быть определены методы физического управления аппаратными средствами и программным обеспечением, используемыми в системах шифрования. В некоторые правила физической безопасности входят положения, требующие использование аппаратных средств, защищенных от несанкционированного доступа, возможность физического блокирования, физическую охрану сети, а также защиту хранилища носителей с программными дистрибутивами.
3. Эксплуатация криптографических систем и обработка зашифрованных данных.
В правилах, определяющих, когда шифровать данные, можно указать, что данные классифицируются на основе условий их хранения и пересылки. Данные, классифицированные по определенным признакам, должны шифроваться.
Можно делать исключения, особенно для носителей с резервными копиями, которые могут иметь сложное управление ключами и непростые процедуры восстановления.
В правилах должно быть определено, что после зашифровки данных для предотвращения доступа к ним посторонних лиц данные должны быть полностью удалены или уничтожены физически носители с этими данными.
4. Соображения о генерировании ключей.
Одним из самых важных аспектов, касающихся криптографии, является ключ. В криптографии ключ является переменной, которая вводится в алгоритм, применяемый для шифрования данных. Обычно ключ является секретной величиной или несет в себе секретный компонент. Важно обеспечить гарантии того, что ключ остается в секрете.
В правилах можно оговорить разработку рабочих инструкций, по которым следует работать, оставляя на усмотрение администраторов разработку соответствующей технологии.
В правилах генерирования ключей может идти речь о разрешенных форматах, требованиях по хранению, сроках их действия, а также о секретности программного обеспечения и процедур генерирования ключей.
Правила могут предписывать уничтожение всех компонентов, использовавшихся для генерирования ключей, для чего в них должно быть включено требование по перезаписи оперативной памяти и онлайновых запоминающих устройств. Дополнительно в правилах может требоваться уничтожение компонентов памяти на автономных запоминающих устройствах.