发布日期:2024-12-21 浏览次数:
加密是使用算法将数据编码为密文的过程。只有访问数据的人或应用程序拥有解密密文所需的数据加密密钥,该密文才能再次有意义。因此,如果数据被盗或意外共享,由于数据加密,数据是无法解密的,因此数据受到保护。
控制和维护数据加密密钥是任何数据加密策略的重要组成部分,因为网络犯罪分子可以利用加密密钥将加密数据恢复到其原始未加密状态。加密密钥管理系统包括加密密钥的生成、交换、存储、使用、销毁和替换。
根据 Securosis 的白皮书《数据加密的实用密钥管理》:
许多数据加密系统不关心“真正的”密钥管理——它们只在本地存储数据加密密钥,用户从不直接与密钥交互。超级简单的实现根本不会存储密钥——它是根据需要从密码短语生成的。在稍微复杂(但仍然相对简单)的情况下,加密密钥实际上与数据一起存储,并受到一系列其他密钥的保护,这些密钥仍然由密码短语生成。
这与企业模式之间存在明显区别,企业模式需要您主动管理密钥。密钥管理涉及将密钥与数据分开,以提高灵活性和安全性。您可以为同一数据设置多个密钥,为多个文件设置同一个密钥,进行密钥备份和恢复,以及更多选择。
最佳做法是使用专用的外部密钥管理系统。有四种类型:
HSM 或其他硬件密钥管理设备,提供最高级别的物理安全性
密钥管理虚拟设备
密钥管理软件,可以在专用服务器上或虚拟/云服务器中运行
密钥管理软件即服务 (SaaS)
随着组织部署越来越多的加密解决方案,他们发现自己管理着不一致的策略、不同级别的保护,并且成本不断上升。走出这个迷宫的最佳方法通常是过渡到集中式加密密钥管理系统。在这种密钥管理情况下,与使用硬件安全模块 (HSM) 不同,密钥管理系统仅执行密钥管理任务,代表使用这些密钥执行加密操作的其他系统行事。
集中式密钥管理系统的好处包括:
统一密钥管理和加密策略
全系统密钥撤销
单点保护
通过自动化降低成本
合并审计信息
单点恢复
方便的职责分离
密钥移动性
虽然云计算具有许多优势,但其主要缺点是安全性,因为数据物理上驻留在云服务提供商 (CSP) 手中,不受数据所有者的直接控制。对于选择使用加密来保护数据的企业来说,保护加密密钥至关重要。
自带密钥 (BYOK) 是一种加密密钥管理系统,允许企业加密其数据并保留对其加密密钥的控制和管理。但是,一些 BYOK 计划将加密密钥上传到 CSP 基础设施。在这些情况下,企业再次失去了对其密钥的控制权。
解决此“自带密钥”问题的最佳实践解决方案是企业在防篡改硬件安全模块(HSM)中生成强密钥并控制其密钥到云端的安全导出,从而加强其密钥管理实践。
FIPS(联邦信息处理标准)140-2 是验证加密硬件有效性的基准。如果产品具有 FIPS 140-2 证书,则表明该产品已通过美国和加拿大政府的测试和正式验证。尽管 FIPS 140-2 是美国/加拿大联邦标准,但 FIPS 140-2 合规性已在世界各地的政府和非政府部门中被广泛采用,成为实用的安全基准和现实的最佳实践。
组织使用 FIPS 140-2 标准来确保所选硬件满足特定的安全要求。FIPS 认证标准定义了四个不断增加的定性安全级别:
Level 1: 需要生产级设备和经过外部测试的算法。
Level 2: 增加了物理篡改证据和基于角色的身份验证的要求。软件实施必须在通过通用标准 EAL2 认证的操作系统上运行。
Level 3: 增加了物理防篡改和基于身份的身份验证的要求。“关键安全参数”进出模块的接口之间也必须有物理或逻辑隔离。私钥只能以加密形式进出。
Level 4: 此级别对物理安全的要求更加严格,要求具有防篡改能力,如果检测到各种形式的环境攻击,则擦除设备的内容。
FIPS 140-2 标准在技术上允许在 Level 3或 Level 4 进行纯软件实现,但其要求非常严格,因此均未经过验证。
对于许多组织来说,要求获得 FIPS 140 Level 3 认证是在有效安全性、操作便利性和市场选择之间的良好折衷。
域名系统 (DNS) 实际上是互联网的地址簿;它使网站名称与其相应的注册 IP 地址相匹配。但非法更改网络查询可能会将最终用户或服务指向恶意 IP 地址,并将其路由到非法服务器以窃取数据。域名系统安全扩展 (DNSSEC) 就是为应对这一威胁而创建的。DNSSEC 是一种使用数字签名的机制,使服务器能够验证和确认 DNS 对查询的响应的完整性。
硬件安全模块在 DNSSEC 的作用
硬件安全模块 (HSM) 可让顶级域名 (TLD)、注册商、注册中心和企业保护用于验证互联网上 DNSSEC 响应完整性的极其重要的签名流程。它们可保护 DNS 免受通常称为“缓存中毒”和“中间人”攻击的攻击。HSM 提供经过验证且可审计的安全优势,可正确生成和存储签名密钥,从而确保 DNSSEC 验证流程的完整性。
组织需要用户凭证来控制对敏感数据的访问。部署完善的凭证管理系统(或多个凭证管理系统)对于保护所有系统和信息至关重要。随着客户和员工的来来往往、角色的变更以及业务流程和政策的发展,当局必须能够创建和撤销凭证。此外,隐私法规和其他安全要求的兴起增加了组织证明能够验证在线消费者和内部特权用户身份的必要性。
与凭证管理相关的挑战
控制您的凭证管理系统的攻击者可以颁发凭证,使他们成为内部人员,并可能拥有在不被发现的情况下入侵系统的特权。
凭证管理流程受损会导致需要重新颁发凭证,这可能是一个昂贵且耗时的过程。
凭证验证率可能存在很大差异,并且很容易超出凭证管理系统的性能特征,从而危及业务连续性。
业务应用程序所有者对安全性和信任模型的期望正在上升,并且可能将凭证管理暴露为可能危及合规性声明的薄弱环节。
硬件安全模块 (HSM)
硬件安全模块 (HSM) 是经过强化的防篡改硬件设备,可通过生成密钥、加密和解密数据以及创建和验证数字签名来加强加密实践。一些硬件安全模块 (HSM) 已通过各种 FIPS 140-2 级别认证。
虽然可以在纯软件系统中部署凭证管理平台,但这种方法本质上不太安全。在经过认证的 HSM 的加密边界之外处理的令牌签名和加密密钥更容易受到攻击,从而可能危及令牌签名和分发过程。HSM 是唯一经过验证且可审计的方法来保护有价值的加密材料并提供 FIPS 批准的硬件保护。
HSM 使您的企业能够:
在精心设计的加密边界内保护令牌签名密钥,采用强大的访问控制机制和强制职责分离,以确保密钥仅由授权实体使用
使用复杂的密钥管理、存储和冗余功能确保可用性
提供高性能来支持企业对从不同设备和位置访问资源日益严格的要求
根据OASIS(结构化信息标准促进组织),“KMIP 支持密钥管理系统和加密应用程序(包括电子邮件、数据库和存储设备)之间的通信。”
KMIP 简化了公司管理加密密钥的方式,消除了冗余、不兼容的密钥管理流程的需要。该标准支持密钥生命周期管理(包括加密密钥的生成、提交、检索和删除)。KMIP 专为旧式和新型加密应用程序而设计,支持多种加密对象,包括对称密钥、非对称密钥、数字证书和身份验证令牌。
KMIP 由 OASIS 开发,OASIS 是一个全球非营利性联盟,致力于安全、物联网、能源、内容技术、应急管理和其他领域的标准的开发、融合和采用。
Thales CipherTrust Data Security Platform支持KMIP协议,可轻松实现对数据的加密和保护。
非对称密钥是公钥基础设施(PKI)的基础,公钥基础设施是一种加密方案,需要两个不同的密钥,一个用于锁定或加密明文,另一个用于解锁或解密密文。两个密钥都不能同时执行这两个功能。一个密钥是公开的(公钥),另一个密钥是保密的(私钥)。如果锁定/加密密钥是公开的,则系统允许公众与解锁密钥的所有者进行私人通信。如果解锁/解密密钥是公开的,则系统将充当私钥所有者锁定的文档的签名验证器。该系统也称为非对称密钥加密。
在密码学中,对称密钥既可用于加密信息,也可用于解密信息。这意味着,要解密信息,必须拥有用于加密信息的相同密钥。实际上,密钥代表两方或多方之间的共享秘密,可用于维护私人信息链接。与公钥加密相比,这种要求双方都可以访问密钥的要求是对称密钥加密的主要缺点之一。
密钥管理任务是创建、维护、保护和控制加密密钥使用所需的完整操作集。密钥具有生命周期;它们被创建、使用并退役。典型的加密密钥生命周期可能包括以下阶段:
定义和执行加密密钥管理策略会影响密钥管理生命周期的每个阶段。每个加密密钥或密钥组都需要由单独的密钥使用策略进行管理,该策略定义哪些设备、设备组或应用程序类型可以请求它,以及该设备或应用程序可以执行哪些操作 - 例如加密、解密或签名。此外,加密密钥管理策略可能会规定在密钥管理过程中对更高级别的授权提出额外要求,以便在请求密钥后释放密钥或在密钥丢失时恢复密钥。
揽阁信息拥有20年的信息安全行业经验,可为您提供定制化的安全解决方案,欢迎联系我们获取更多专业支持。
揽阁信息 · 值得您信赖的信息安全顾问!
服务热线
