公钥对中的公钥不需要机密性保护,但应提供完整性保护以防止篡改;公钥对应的私钥必须在所有时间都妥善保管。如果攻击者得到私钥的副本。那么它就可以读取发送给密钥对拥有者的所有机密通信数据,还可以像密钥对的拥有者那样对信息进行数字签名。私钥的保护需要保护带有密钥的文件,以及可能包含这个文件的所有备份。大多数系统都使用密码对私钥进行保护,这样可以保护密钥不会被窃取,但是密码口令必须精心选择,以防止口令攻击。如果密钥存在于文件中,那么无论这个文件处在哪个位置,都必须对它进行保护;如果密钥位于内存中,则必须小心保护内存空间不被用户或进程检查。
在密钥注入以后,所有存储在加密设备里的密钥平时都应以加密的形式存放,而对这些密钥的操作口令应仅由密码操作人员掌握。这样,即使装有密钥的加密设备被破译者拿到也可以保证密钥系统的安全。
加密设备应有一定的物理保护措施。一部分最重要的密钥信息应采用掉电保护措施,使得在任何情况下,只要拆开加密设备,这部分密钥或设备就会自动毁掉。如果采用软件加密的形式,应有一定的软件保护措施。重要的加密设备应有紧急情况下自动销毁密钥的功能。在可能的情况下,应有对加密设备进行非法使用的审计,如把非法口令输入等事件的发生时间等信息记录下来。高等级专用加密设备还应做到:无论通过直观的方法,还是自动的(如电子、X射线、电子显微镜等)方法都不能从密码设备中读出信息。对当前使用的密钥应有密钥完整性和有效性验证措施,以防止被篡改。