密钥生成使用的随机数发生器必须经国家密码管理部门核准;密钥应在符合GB/T 37092的密码产品内部产生;密钥应具备足够的随机性,具备检查和剔除弱密钥的能力;应记录密钥种类、长度、拥有者、使用起止时间等关联信息。
密钥(除公钥外)必须以密文形式存储,位于受保护的安全区;密钥加密密钥应存储在符合GM/T 0028的二级以上密码模块中;必须采取严格的安全防护措施防止密钥被非法获取;密钥不得以明文方式出现在密码模块之外。
密钥传递过程中必须使用密码技术保护其机密性、完整性与真实性;应具备抗截取、假冒、篡改、重放等攻击的能力;应对密钥分发的发送方和接收方进行身份鉴别。
密钥应按明确用途正确使用,加密密钥与签名密钥必须严格分离;密钥泄露时应立即停止使用并启动应急处置;应按照密钥更换周期要求进行轮换;密钥销毁应具备不可恢复性,确保销毁后无法通过任何手段恢复。