加密密钥是任何安全系统的重要组成部分。他们完成从数据加密和解密到用户身份验证的所有工作。任何加密密钥的泄露都可能导致组织的整个安全基础设施崩溃，从而使攻击者能够解密敏感数据，将自己验证为特权用户，或让自己访问其他机密信息来源。幸运的是，正确管理密钥及其相关组件可以确保机密信息的安全。

密钥管理涉及密钥的创建、交换、存储、删除、更新等。密钥管理正在制定某些标准以确保组织中加密密钥的安全性。

加密密钥的类型：

加密密钥根据其功能分为不同的类别。先说几种类型：

1. 主密钥
   

   主密钥仅用于加密其他从属加密密钥。主密钥始终保留在加密设施（例如硬件安全模块）的安全区域中，其长度通常为 128 – 256 位，具体取决于所使用的算法。

   
   

2. 密钥加密密钥 (KEK)

   当使用密钥或数据加密时，必须用 KEK 密钥“包装”以确保密钥的机密性、完整性和真实性。KEK 也称为“密钥包装密钥”或“密钥传输密钥”。

   
   

3. 数据加密密钥 (DEK)：

   根据场景和要求，可以使用对称或非对称密钥对数据进行加密。在对称密钥的情况下，通常使用密钥长度为 128-256 位的 AES 密钥。1024 – 4096 位的密钥长度通常用于RSA 算法的非对称密钥。简而言之，您使用数据加密密钥加密您的数据。

   
   

4. 根密钥

   根密钥是 PKI 层次结构的最顶层密钥，用于验证和签署数字证书。根密钥通常比层次结构中的其他密钥具有更长的生命周期。根密钥对的私有部分安全地存储在符合 FIPS 140-2 Level 3的硬件安全模块中。

密钥长度和算法

选择正确的密钥长度和算法对于加密环境的安全性非常重要。密钥的密钥长度必须与使用的密钥算法对齐。对于任何密钥（对称或非对称密钥），密钥长度的选择基于以下几个因素：

• 使用的密钥算法

• 所需的安全强度。

• 使用密钥处理的数据量（例如，批量数据）

• 密钥的加密周期

密钥管理的重要性：

密钥管理是所有数据安全的基础。数据通过加密密钥进行加密和解密，这意味着任何加密密钥的丢失或泄露都会使实施的数据安全措施失效。密钥还确保通过 Internet 连接安全传输数据。使用代码签名等身份验证方法，攻击者可以伪装成 Microsoft 等受信任的服务，同时在窃取受保护不良的密钥时向受害者提供恶意软件。密钥符合特定标准和法规，以确保公司在保护加密密钥时使用最佳实践。只有需要它们的用户才能访问受到良好保护的密钥。

密钥管理系统通常用于确保密钥是：

• 生成到所需的密钥长度和算法

• 保护良好（安全架构师通常更喜欢 FIPS 140-2 Level 3硬件安全模块）

• 仅由授权用户管理和访问

• 定期轮换

• 不再需要时删除

• 定期对其使用情况进行审核

集中式密钥管理：

人们经常问是否必须使用第三方密钥管理解决方案来集中管理加密密钥。根据我们的观点，不，这不是强制性的，但是为您的组织提供功能是件好事。集中式密钥管理系统比特定于应用程序的 KMS 提供更高的效率。

集中式密钥管理系统的好处：

• 减少运营开销

• 通过自动化降低成本

• 通过自动化，它降低了人为错误的风险

• 自动密钥更新和分发到任何端点

• 提供防篡改记录以证明合规性

• 高可用性和可扩展性

• 符合法规遵从性

• 简化您的密钥管理生命周期

合规和最佳实践

合规标准和法规要求很多关键的管理实践。NIST和法规创建的标准（如PCI DSS、FIPS 和HIPAA）期望用户遵循某些最佳实践来维护用于保护敏感数据的加密密钥的安全性。以下是确保遵守政府法规和标准的重要做法：

• 加密密钥最重要的做法是永远不要在任何地方对密钥值进行硬编码。将密钥硬编码到开源代码或任何类型的代码中，会立即破坏密钥。任何有权访问该代码的人现在都可以访问您的一个加密密钥的密钥值，从而导致密钥不安全。

• 最小权限原则是用户只能访问他们工作所需的密钥。这确保只有授权用户可以在跟踪密钥使用情况时访问重要的加密密钥。如果密钥被滥用或泄露，则只有少数人可以访问该密钥，因此如果违规发生在组织内部，则可以缩小可疑池的范围。

• HSM 是存储加密密钥并在本地执行加密操作的物理设备。攻击者要从 HSM 中窃取密钥，他们需要从现场物理移除设备，窃取访问 HSM 所需的法定数量的访问卡，并绕过用于保护密钥安全的加密算法。云上的 HSM 也是一种可行的密钥管理存储方法。尽管如此，云服务提供商的安全性总是有可能失败，从而允许攻击者访问存储在其中的密钥。

• 自动化是一种广泛使用的方法，可确保密钥不会超过其加密期限并被过度使用。密钥生命周期的其他部分可以自动化，例如创建新密钥、定期备份密钥、分发密钥、撤销密钥和销毁密钥。

• 创建和执行与加密密钥相关的安全策略是许多组织确保其密钥管理系统的安全性和合规性的另一种方式。安全策略提供了组织内每个人都遵循的方法，并创建了另一种方法来跟踪谁可以并且已经访问了特定的密钥。

• 与密钥管理相关的职责分离是任何组织的另一个重要实践。职责分离的一个例子是指派一个人授权新用户访问密钥，另一个人分发密钥，第三个人创建密钥。使用这种方法，第一个人无法在分发阶段窃取密钥，也无法在密钥生命周期的生成阶段学习价值。

我们可以做什么

揽阁信息是Thales的合作伙伴，通过提供CipherTrust Data Security Platform+Luna Network HSM（KMS+HSM）的解决方案，为众多客户解决了对于加密、数据保护和密钥管理等方面的困扰。该方案的构建可使您的安全达到FIPS 140-2 Level 3和CC EAL 4+的安全级别，如需了解详情，请与我们联系。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• SK Telecom与Thales合作开发后量子密码学

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代

• 经验教训：2023年全球网络安全的五个要点

• 简化密钥和证书的审核和修复

• 保护云前沿：应对多云时代 SaaS 数据保护的复杂性