什么是密钥块（Key Block）？

答：密钥块是独特的加密结构，其通用目的是保护强安全边界（例如FIPS或PCI 认证的 HSM）之外的密钥。这可以在不安全的环境中安全传输加密密钥。通常，密钥块寻求解决以下问题：

• 如何安全地传输多个不同的加密密钥？
  

• 如何找到一种可靠的方式向接收者表明所传输密钥的用途和性质？

• 如何实现传输密钥的机密性和完整性？ 

• 如何保护传输的密钥免受中间人攻击、篡改和滥用？

密钥块通过使用给定的算法（可以是对称的或非对称的）对密钥材料本身进行加密来实现这一点，以添加具有各种属性和信息的明文标头并对整个块进行签名。

密钥块有规范吗？

答：目前，密钥块没有明确的 ISO 或 ANSI 规范。但是，实现密钥块的技术参考，尤其是在银行业，是TR-31技术报告（ASC X9 技术报告：互操作安全密钥交换密钥块规范）。

密钥块是否与密钥变体相同？

答：不，密钥块通常与密钥变体完全不同。密钥变体是比密钥块更旧的加密结构。他们也更“原始”。密钥变体使用密钥加密密钥（使用控制向量从主密钥派生出来的密钥加密密钥 - 对应于应用程序类型 - 使用 XOR）和简单的 ECB 密码模式来保护应用程序密钥。使用密钥变体，应用程序类型是隐式的——但对于密钥块，所有密钥元数据在块内都是显式的。

密钥块安全吗？

A：如果实施得当，基于TR-31技术报告的关键区块通常被认为是非常安全的。密钥块简单但高效。在支付行业，它们被用于保护各种环境中数十亿的加密密钥和 PIN，例如，ATM 和 HSM 之间的银行业务。

有多少种密钥块格式？

A：每个人都可以根据 TR-31 技术报告自由创建自己的密钥块格式，但最常见的密钥块格式是：

• Atalla密钥块

• Thales密钥块

• IBM密钥块

• TR-34密钥块

• PKCS#8密钥块

请注意，在加密软件设计中，“密钥容器”通常与密钥块相同并使用相同的设计。

密钥块（Key block）和密钥包（Key Wrapping）一样吗？

答：不可以。密钥包是一个原始概念，位于密钥块之前，不太通用，仅关注3DES。

密钥块与密钥包装相同吗？

答：不可以。密钥包装比密钥块更复杂和更通用。它由 ANSI X9.102 描述。密钥包装侧重于基于密码的密钥加密算法本身。

密钥块在哪里使用？

答：密钥块主要用于银行业务，用于在 HSM、ATM 或 POS 支付终端之间传输密钥和 PIN。它们还可以用于加密货币（cryptocurrency），或者一般来说，任何需要以安全和受保护的方式交换密钥的加密系统。 

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• SK Telecom与Thales合作开发后量子密码学

• 勒索软件制裁：有什么影响？

• 经验教训：2023年全球网络安全的五个要点

• 数据安全的未来是什么

• 保护云前沿：应对多云时代 SaaS 数据保护的复杂性