密码学构成了我们许多数字基础架构以及围绕该基础架构构建的服务的基础。无论是访问移动电话网络，我们的在线或ATM访问银行帐户，在线支付费用，还是通过机场的自动护照控制设备进行任务，我们无所不用其极地进行身份验证的方式清单无穷无尽。但是，在当今高度安全的时代，为什么我们固有地信任这些服务？

我们固有地信任这些服务的原因很多，最常见的是我们信任提供者来保护我们和我们的资产，而不必怀疑实际上使用了哪种身份验证方法，或者密码学是否是安全性的一部分。密码术使我们能够通过参与识别协议来证明一个实体实际上拥有给定的秘密，从而证明某人就是他们所说的真实身份。

此外，加密技术使我们能够保护窃听者的通信安全。它使我们能够通过数字证书来验证网站，使用数字签名来验证护照或使用挑战响应机制来验证银行卡。

考虑到这一点，我们如何在不真正了解加密技术的情况下首先信任加密技术？一切似乎都依赖于技术堆栈这一部分的信任。

好吧，我们有多种方法可以确保在加密操作中保证信任。除其他外：

1. 对算法的信任：加密算法仅在经过严格的研究，分析和验证过程后才能部署在主要系统中。这种类型的过程最著名的例子是开发AES和SHA-3的NIST竞赛，以及正在由NIST进行的开发后量子公钥算法的工作。NIST，IETF，ISO等标准机构使公司确信，在部署算法之前已经对其进行了充分的分析。人们永远不应信任那些尚未在公共社区进行分析的公司所推崇的算法。

   
   

2. 对实施的信任：密码学家向业界提供建议时经常会提到一种口头禅，那就是“不要自行开发密码”。换句话说，您应该始终使用信誉良好的软件。如果它是开放源代码软件，则应该是经过许多专家检查并且处于活动补丁程序生命周期中的软件。密码软件可能存在许多降低信任度的问题。例如，良好的代码将被写入恒定的时间，以确保不会通过边通道泄漏任何信息（如果在远程设备上实现）。对于关键任务服务公司，使用经过严格验证过程的软件，例如NIST FIPS验证过程或通用标准。

   
   

3. 对密钥的信任：通过公开分析算法和公开分析代码，我们最终只需要对密钥进行信任。这恰恰是克尔科夫斯最著名的原则（于1883年制定）指出的；也就是说，安全性应完全取决于秘密密钥的保密性。

有很多方法可以保护加密密钥，以便只有有效的用户才能访问密钥。例如，在USB Key和SmartCard（智能卡）等设备上的安全存储。对于大型公司实例，可以依靠硬件安全模块（HSM）或使用现代的多方计算（MPC）技术将密钥拆分到不同的地理位置。

总之，如果您采用使用经过精心研究的算法和经过精心研究的软件库的加密最佳实践，那么您就可以信任大多数数字服务，因为它们基于受信任的密码学。在此，这种信任的根源是对加密密钥的安全控制。因此，复杂系统的安全性和信任度被简化为加密密钥的安全性和信任度这一更简单的问题。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• SK Telecom与Thales合作开发后量子密码学

• Luna HSM v7.8.4 和 Luna HSM Universal Client v10.7 现已推出

• 经验教训：2023年全球网络安全的五个要点

• 简化密钥和证书的审核和修复

• 揭示PKI动态：全球各地区技术趋势和监管见解