密钥管理和加密操作之间的区别

当我们关注整个组织的数据加密而不是基本加密的隔离应用程序时，是时候花点时间讨论密钥管理与加密操作之间的含义了。

每个数据加密操作都包含一个密钥，因此总要管理一个密钥，但是成熟的管理系统是构建多部分加密系统的最重要方面。

许多数据加密系统不理会“真实的”密钥管理-它们仅在本地存储密钥，用户从不直接与密钥进行交互。例如，如果您使用许多常用的命令行工具之一来使用密码短语对数据进行加密，那么很可能除了选择加密算法和密钥长度之外，对密钥不做任何其他事情。超简单的实现根本不需要费心存储密钥-它是根据需要从密码短语生成的。在稍微复杂一些（但仍然相对简单）的情况下，该密钥实际上与数据一起存储，并受一系列仍由密码短语生成的其他密钥保护。

在此模型和企业模型之间有明确的区分，您可以在其中主动管理密钥。密钥管理涉及将密钥与数据分离，以提高灵活性和安全性。它不要求你搬到键到外部系统，但是这是比较重要的选项之一。您可以为同一数据使用多个密钥，对于多个文件使用相同的密钥，密钥备份和恢复以及更多选择。

四个密钥管理策略

管理组织内的数据加密密钥有四种主要方法。这些适用于各个密码系统，各种不同类型的应用程序以及更大更复杂的密码系统。其中许多方法还适用于其他种类的加密操作，例如数字签名和证书，但我们与本文无关。

本地密钥管理

对于密钥管理，此选项最接近什么都不做。密钥全部在本地管理（在单个系统或系统集群上），所有密钥功能都在单个应用程序中处理。

本地密钥管理实际上并不常见，尽管并不总是最好的主意。常见的示例包括：

• 由单个用户（例如， Bitlocker或FileVault，无需绑定密钥管理服务器）管理的全磁盘加密

• 透明的数据库加密

• 将加密构建到应用服务器中

• 基本备份加密

• 文件服务器或SAN / NAS加密

在每种情况下，所有密钥都可以在本地进行管理–在这种情况下，还必须在本地系统中构建任何密钥轮换，备份/还原或审计，但是通常这些功能根本不存在。

本地密钥管理不一定是不好的，特别是在隔离的情况下。例如，如果您未加密地备份数据，或者使用自己的密钥来备份数据，则无需担心管理本地密钥。但是对于任何严重的问题（包括任何具有合规性要求的问题），依靠本地密钥管理都会带来麻烦。

筒仓密钥管理（集中统一化密钥管理）

这是指在本地系统中分离密钥，并在多系统应用程序中对其进行管理。无论您运行什么软件堆栈/系统，都为其自己的客户端软件管理自己的密钥。

全盘加密是最常见的企业示例之一。中央管理服务器处理所有加密笔记本电脑和台式机的配置和密钥。该密钥管理系统从未用于其他任何用途，例如数据库，但可以管理产品支持的其他数据加密功能（包括文件/文件夹加密）。所有重要的密钥管理功能（包括管理和恢复密钥，循环，备份/还原和审核）都内置在筒仓密钥管理器中。

其他典型用途包括电子邮件加密，某些备份加密工具，甚至企业数字版权管理-DRM是通过加密实现的。

当满足特定情况的需求时，筒仓密钥管理是完全合适的。当加密是产品的密钥功能时，例如全盘加密，这种方法通常可以完美地工作-无需额外的密钥管理。另一方面，当加密仅是现有产品的功能时，密钥管理通常充其量是最少的，这通常是将加密产品固定在现有备份系统上。

密钥管理服务

到目前为止，我们讨论的两种策略将密钥保留在单个系统或应用程序堆栈中。接下来的几个策略引入了一个新的组件：专用的密钥管理系统。

当本地或筒仓密钥管理不充分时，是时候引入专门用于解决问题的工具了。将密钥移到筒仓外部，并将专用密钥管理与一个或多个应用程序集成。过去这非常困难，但是现在越来越多的产品（包括商业软件和免费软件/开放源代码）都支持密钥管理标准，这些标准使使用外部管理变得更加容易。在制定标准之前，我们要么依靠供应商提供专有的挂钩，要么对整个产品进行反向工程。

提供了各种专用的密钥管理选项–包括强化的硬件设备，软件，虚拟设备，甚至软件即服务（SaaS）。我们将重点放在密钥管理策略上，而不是产品上，因此，我们不会介绍所有各种功能，但是足以说明它们往往比除最佳孤岛之外的所有功能和功能要强大得多（通常还具有更强的安全性）。工具。除了外部服务的所有附加功能之外，外部服务还可以管理多个不同筒仓的密钥。这对于统一审核/报告并满足其他合规性要求非常重要。

密钥管理服务还可以减少加密操作的开销和复杂性，尤其是对于通常无法使用孤岛管理的应用程序和数据库加密。使用API和插件，您的开发人员和DBA不需要重新发明轮子。很少有人（包括加密专家）能够安全地完成工作。这种方法还可以在不需要时从涉及的系统中删除密钥，从而进一步提高安全性。与外部密钥管理器链接的强化加密引擎提供了高安全性模式，在该模式下，它们可以执行以下操作：一次执行就将密钥拉下，使用密钥，然后覆盖密钥的内存地址以将其从系统中完全消除。

不要放弃下一部分，但是，如果数据加密功能或软件不包括集中式密钥管理，或者您的孤岛管理软件没有提供所需的所有功能，那么该是时候使用专用密钥管理服务了。我们看到的最常见的地方是备份和存储加密，应用程序和数据库加密以及云服务的数据加密。

企业密钥管理

企业密钥管理以密钥管理服务为基础，增加了“经理经理”以集中组织中大部分或所有密钥管理。我们专注于数据加密密钥管理，但这也可能包含用于其他操作（例如证书管理）的密钥。管理器增加了功能以扩大其范围；例如改善职责分离；其他敬业的密钥管理人员的整合和管理；根据角色，用途等隔离密钥和用户的能力。

尽管组织可能具有不同的密钥管理服务集合，但是企业密钥管理将它们与中央管理和管理联系在一起。实际上，仍然可能会有一些孤岛，但是这种策略包含并管理至少大多数加密数据的密钥。

概括地说，四个密钥管理策略是：

• 本地管理密钥

• 在筒仓中管理密钥，筒仓通常是具有内置密钥管理功能的单个应用程序堆栈

• 使用与数据和应用程序堆栈分开的外部密钥管理服务/服务器/设备管理密钥

• 使用集中式密钥管理工具（KMS）协调整个企业中（大多数或全部）密钥的管理

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• SK Telecom与Thales合作开发后量子密码学

• 勒索软件制裁：有什么影响？

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代

• 经验教训：2023年全球网络安全的五个要点

• 数据安全的未来是什么