您当前的位置:   首页 > 新闻中心
密码密钥管理概念:关于密钥生成、元数据、生命周期、妥协等
发布时间:2019-12-04 12:38:54   阅读次数:

密码密钥管理概念:关于密钥生成、元数据、生命周期、妥协等(图1)

让我们从头开始-什么是“密钥”?

密钥(在密码学的上下文中)本质上只是一个很大的数字。密钥是密码学的基本组成部分,用于加密、散列和签名之类的密码操作中,以提供所需的属性,例如机密性(将信息保密)、完整性(防止信息被更改)或真实性(验证信息的来源)。


密钥的长度由代表其值的二进制位数(“位数”,即1和0)来衡量。密钥通常为数百个,在某些情况下甚至为数千个位。这在安全性和计算效率之间取得了平衡-太短了,密钥不安全,太长了,这使加密变得不切实际地缓慢。


密钥有什么用?

密钥有两种基本类型:对称密钥和非对称密钥 


对称密钥

对称密钥通常用于加密和解密信息。它们类似于物理密钥,因为它们用于安全地“锁定”信息(即加密),使得只有具有相同密钥的人才能“解锁”(即解密)信息。术语“对称”来自将相同密钥用于加密和解密的方式。


为了安全,对称密钥必须是长且随机的(即不可猜测的),并且必须保密。即使攻击者知道使用了哪种加密算法,如果没有此密钥也不会解密信息。与强密钥一起使用的高质量对称加密算法可以防止攻击者在合理的时间内猜测(即“破坏”或“强行强制”)密钥,即使使用功能强大的计算机可以尝试数百万种不同的密钥每秒猜测。


非对称密钥

非对称密钥始终成对出现,每对包括在数学上彼此相关的“私钥”和“公钥”。私有密钥必须保密(就像对称密钥一样),但正如其名称所暗示的那样,公共密钥可以与任何人共享。这样的密钥使“公共密钥加密”成为可能。


非对称密钥的属性意味着任何人都可以使用公共密钥加密信息,但是只有私有密钥的所有者才能解密它。这对于向某人发送私人消息很有用,因为他们所需要的只是您的公共密钥。(使用对称加密,您必须向他们发送对称对称密钥的副本,否则可能会落入攻击者的手中。)


非对称密钥也可以用于验证消息的真实性。首先使用所谓的“哈希函数”对消息进行压缩,然后使用私钥对所得的“指纹”进行加密,从而创建“数字签名”。这样,任何人都可以很容易地使用始发者的公钥对该签名进行解密,以检查其产生的结果与散列消息本身的结果相同,在这种情况下,只有相应私钥的所有者才可以对它签名。


密钥从哪里来?

密钥通常是由计算机使用内置于操作系统和编程语言库中的随机数生成器功能以软件形式通过计算机生成的。这对于大多数日常用途已经足够了,但是会导致密钥不足,并且对确定的攻击者提供的保护很少。因此,对于诸如金融交易和对非常敏感的信息进行加密之类的关键应用,优选在硬件安全模块HSM)内部生成并存储密钥。


HSM是运行受信任的操作系统和固件的独立计算设备,通常设计为具有防篡改功能并已通过国际安全标准认证。他们使用基于硬件的随机数生成器来创建非常强大的密钥,这些密钥在HSM内部得到了良好的保护,可以防止潜在的攻击者。


什么是密钥元数据?

密钥元数据是与密钥有关的信息,例如密钥的类型,密钥何时过期,谁拥有它,用途是什么,等等。没有这个,密钥就是无意义的数字及其用途(和价值)很容易被遗忘。


什么是密钥生命周期?

密钥生命周期是指从创建密钥到永久删除密钥的时间。在其生命周期中,键可能会发生很多事情。例如,它可以被批准、备份、分发到某个地方或被撤销。密钥也可以定期更新(即更改密钥值,尽管它在逻辑上保持相同的密钥和相同的元数据)–这是一种良好的安全实践,因为使用密钥的时间越长,越有可能被使用妥协。


什么是密钥管理?

密钥管理只是管理密钥生命周期的实践。换句话说,在需要它们时生成密钥,将其备份,在正确的时间将其分发到正确的位置,定期更新它们,然后吊销或删除它们。所有这些都必须以安全的方式完成,以防止密钥被泄露。


如果密钥被泄露会怎样?

如果密钥被泄露(即,密钥以某种方式丢失/被盗/损坏),则意味着它所保护的任何信息也可能被泄露。这可能导致个人信息,商业机密和其他敏感/有价值的信息泄漏,或导致欺诈性金融交易。对于组织而言,这可能导致罚款和重大声誉损失,并最终降低公司的价值,甚至使公司倒闭。因此,必须将密钥视为与用于保护的密钥具有相同的内在价值。


必须尽快撤销和更换已泄露的密钥,并进行调查以发现已造成的损害以及泄露是如何发生的,以避免重复。


电子密钥管理系统的作用是什么?

可以手动管理密钥(例如,使用纸质或电子表格以及严格的程序和物理保险箱),但这种劳动密集型的工作方式,容易出错且不安全的。


电子密钥管理系统解决了这个问题,使密钥(及其元数据)在其整个生命周期中得到有效,安全地管理,并以安全审核的形式自动保持永久记录每个密钥所发生的一切的电子记录日志。


此外,密钥管理系统可以实施最佳实践安全策略,以确保安全地管理密钥并保护其免受内部和外部威胁。


他们通常会利用HSM来确保密钥牢固且受到良好保护。


这样的系统是维持和证明对许多不同标准(例如PCI-DSS)的合规性的重要工具,尤其是在金融、医疗保健和政府等监管严格的行业中。 


最后,密钥管理系统提供了使密钥管理集中和自动化的机会,从而以更加有效的方式来管理数量不断增加的密钥,这些密钥通常可以保护公司的许多最有价值的资产。


密钥管理面临哪些挑战?

也许最大的挑战是将目前在企业环境以及越来越多的云环境中使用的成千上万个(如果不是上百万个)现成的和内部的加密应用程序集成在一起,以便安全地将密钥发送给这些应用程序。一种自动化的方式。


不幸的是,没有普遍的密钥分配标准。KMIP(密钥管理互操作性协议)早在2010年就已开发出来,旨在解决此问题,但是直到今天,仍很少有应用程序支持此功能。因此,大多数密钥管理系统都支持与最常见应用程序的一系列现成集成,以及用于与其他应用程序定制集成的专有API。


我们发现云基础架构和SaaS应用程序存在相同的问题。尽管许多人现在支持BYOK(自带密钥)的概念–即具有在密钥管理系统中生成密钥并将其上传到云的能力,以便您可以唯一地控制密钥–每个平台或应用程序都提供其功能。自己的专有格式和上传BYOK密钥的机制。


因此,推出密钥管理系统通常是分阶段进行的,企业应与应用程序和密钥管理系统的供应商紧密合作,以确保可以实现集成,而使用手动密钥分发(不是在某些情况下会与手动密钥管理相混淆!)。


所有密钥管理系统是否相同?

没有!市场上有许多密钥管理系统。有些是针对特定的垂直市场(例如,银行或国防)而设计的,而另一些是针对特定供应商的,或者是针对狭窄范围的应用程序(例如,数据库)而设计的。


功能、自动化、易用性、安全性以及对合规性的支持水平也可能相差很大。


卖方的声誉和经验通常是质量的最佳指标,相关市场领域的强大客户参考也是如此。



揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609