021-54410609
今天我们将研究适用于银行业的实用密钥管理。在线交易显然非常需要有效的保护,有很多方法可以满足这一需求。我们将讨论不同的加密方法、银行加密的实际用例,并分析哪种类型的加密在该主题中最有用。
对称密码学的一些主要挑战
一个主要问题是需要访问密钥的用户越多,密钥管理就越困难。多个客户端可能需要一些辅助过程才能访问相同的密钥。
对称密钥本身也没有固有的元数据,因此它们很容易过期。因此,可以实施密钥生命周期管理系统,自动将过期密钥轮换出循环。此外,如果一个对称密钥被泄露,它会使所有用户都容易受到攻击——因此对称密钥需要保护。
硬件安全模块 (HSM)是一种高度先进且安全的密钥存储设备。在密钥生命周期结束时,密钥必须退役,并且必须有新密钥取而代之。
对称与非对称加密
对称算法在概念上非常古老,围绕着使用相同的密钥来加密和解密信息的想法,这可以证明对速度很有用。但是,它比使用公钥和私钥分别进行加密和解密的新型加密方法更容易受到攻击。这种被称为非对称加密的加密方式已经证明了它在安全性上的优越性,并被广泛应用至今。
那么,如果非对称加密更安全,为什么还要使用对称加密呢?这就像驾驶坦克而不是汽车去上班,有时额外的保护会让你的速度减慢太多。对于不同的用例,例如银行业,对称算法可以在确保尽可能快地完成加密过程方面提供优势。
如果互联网交易比现在慢几倍,世界会慢多少?如果使用更慢、更复杂的算法来维护这些系统,成本会增加多少?因此需要对称加密。
非对称加密因其在数字签名或区块链中的应用而大放异彩,例如,绝对数据安全性至关重要。通过数字签名,公钥和私钥的使用意味着可以轻松知道数据签名者的身份。
签名者使用他们的私钥进行加密,而接收者使用他们的公钥验证他们的身份。由于只有签名者的公钥才能解密用签名者的私钥加密的数据,所以在解密数据时会验证签名者的身份。
非对称加密算法广泛用于保护当今存在复杂密钥处理挑战的在线通信。公钥基础设施(PKI)是一个基于非对称加密的主要框架。使用 HSM 和密钥生命周期管理,可以自动执行繁琐的任务,从而更轻松地促进高可用性操作和加密标准合规性。
对称加密方案如何工作
对称加密安全设备非常先进和安全,但并不总是最容易使用的。这是一个设备如何工作的例子。如果两个设备需要建立连接,则涉及三种不同的密钥类型:
主密钥是高度保护和长期密钥,用于解密其他密钥密钥密钥加密密钥(KEK) -用于加密密钥,需要被高度保护
会话密钥是随机生成的数字,可确保两个设备之间的连接不受损害
主密钥和 KEK 必须不时更新,大多数设备都有自动检查密钥完整性的板载编程,因此这个过程变得更容易。KEK 应始终由密钥保管人手动安装,或通过预配置的密钥管理系统流程自动安装。
解密过程如下:
这些设备使用 RNG(随机数生成器)生成会话密钥
少量数据在会话密钥上加密
使用 KEK 加密会话密钥
将加密数据发送到接收方设备
销毁会话密钥
输入一定量的数据后,按照1-4步进行键值变化
但是,在这种情况下会出现许多实际问题:
主密钥可以保密多久?他们需要多久轮换一次?
KEK 也必须定期轮换,它们受什么政策约束?
两个订户之间的每条通信链路都必须使用 KEK。当必须为许多订户提供服务时,您如何确保可用性?
结论
密钥管理可能是一个复杂的过程,但为了高可用性和安全性而妥善管理非常重要,尤其是在通过这些加密保护客户和公司资产的情况下。非对称和对称加密算法都有其优点和缺点,这使得任何一种类型都有效,具体取决于用例。在考虑用于银行目的的加密时,了解它们的差异很重要。分解对称加密过程后,它成为银行用例实用密钥管理的明显选择。
高效安全的交付受各种加密标准保护的密钥和证书,让您能够放心的开展各类业务,完整性和信息传输速度必须保持最高优先级。在揽阁信息,我们通过多年的从业经验,为广大客户提供最为适合的产品和解决方案,以实现客户对更高效率和安全性的需求。现在联系我们,获取更多相关信息吧。
揽阁信息可提供的部分安全产品和解决方案信息
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
-
数据库访问控制:揽阁LGPAC系统
-
通用HSM:Luna HSM、ProtectServer HSM
-
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!
联系我们
免费试用留言
客服电话