021-54410609
发件人使用密码加密数据,收件人必须知道该密码才能访问。它被称为对称的,因为相同的密钥用于加密和解密。对称密码学使用单一的共享秘密在各方之间共享加密数据,这就是为什么它也被称为密钥加密。
对称加密机制
对称加密是一个双向过程,其中具有给定密钥的明文块(称为对称密码)将产生相同的原始密文。同样,如果在该密文块上使用相同的密钥,它将始终生成原始明文。
当使用已建立的共享密钥保护各方之间的数据以及经常存储机密数据时,此方法很有用。
例如,ASP.NET 使用 3DES 技术来加密表单身份验证票证的所有 cookie 数据。
对称加密的使用
对称加密是一种较老的加密方法,但它比非对称加密更高效、更快速。
由于大量 CPU 使用和数据大小的性能问题,非对称加密会对网络造成影响。对于批量加密或加密大量数据,使用对称加密。
例如,数据库加密。当考虑数据库时,密钥只能用于数据集的加密和解密。
对称密码学的一些应用是:
哈希或随机数生成方法。
支付应用程序,如需要保护 PII 以防止身份盗用或欺诈收费的卡交易。
用于确认消息的发件人是否是他们声称的人的验证。
对称密码学的主要挑战
对称加密的最弱点是它的 密钥管理 方面。
密钥耗尽
在这种类型的加密中,每次使用密码或密钥都会泄露一些信息,攻击者可能会使用这些信息来重建密钥。为了克服这个问题,最好的方法是使用密钥层次结构来确保主密钥或密钥加密密钥永远不会被过度使用,并且完成适当的密钥轮换。
归因数据
对称密钥没有用于记录信息的嵌入式元数据,这些信息通常包括到期日期或用于指示可能使用密钥的访问控制列表。这可以通过 ANSI X9-31 等标准解决,其中密钥绑定到规定其用法的信息。
大规模密钥管理
如果键的数量范围从几十到几百,管理开销是适度的,可以由人工或手动处理。但是,对于大型资产,跟踪密钥的到期和轮换安排变得不切实际。因此,建议使用特殊软件来维护每个创建的密钥的正确生命周期。
信任问题
验证源的身份和接收数据的完整性非常重要。假设数据与金融交易或合同有关,那么风险就更高了。虽然对称密钥可用于验证发起一组数据的发送者的身份,但这种身份验证方案可能会遇到一些与信任相关的问题。
密钥交换问题
这个问题源于这样一个事实,即通信双方在建立安全通信之前需要共享密钥,然后需要确保密钥保持安全。直接密钥交换在这种情况下可能被证明是有害的,并且由于风险和不便而可能不可行。
今天如何使用对称密码学?
对称和非对称密码学今天仍然经常使用,甚至相互结合使用。但就速度而言,对称密码学胜过非对称密码学。
在对称密码学中,使用的密钥比非对称密码学中的密钥短得多或小得多;此外,仅使用一个密钥这一事实使整个过程更快(在非对称中,使用两个密钥)。当速度优先于增加的安全性时,使用对称密码学。
在数据存储中,对称加密用于加密存储在设备上的数据。但是这些数据并没有被传输到任何地方。此外,对于银行业,对称加密用于加密卡信息或必要交易所需的其他个人详细信息。
在许多用例中,需要结合使用对称和非对称加密技术来提高速度和安全性。这种混合方法最常见的用例是:
移动聊天系统
非对称加密用于在任何对话开始时验证用户的身份。在此之后,对称加密用于加密正在进行的对话部分。
SSL/TLS
非对称密码学用于加密一次性使用的对称加密密钥。这用于加密或解密该互联网浏览会话的内容。
揽阁信息提供的Thales HSM和KMS产品,以及揽阁信息多年提供定制化解决方案的经验,都可以有效的帮助客户解决在面临密钥管理时的困难,并极大提升系统的使用效率。现在联系我们,获取更多信息!
揽阁信息可提供的部分安全产品和解决方案信息
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
-
数据库访问控制:揽阁LGPAC系统
-
通用HSM:Luna HSM、ProtectServer HSM
-
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!
联系我们
免费试用留言
客服电话