曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        隨機數生成器在HSM和密鑰管理中的作用
        發布時間:2019-10-13 10:38:45   閱讀次數:

        隨機數生成器在HSM和密鑰管理中的作用(圖1)

        硬件安全模塊(Hardware Security Moudel)

        讓我們從HSM開始。一個HSM是一種特殊的“可信”的網絡設備,它負責執行關鍵加密操作,包括密鑰生成,密鑰存儲和密鑰保護。必須信任HSM,以防止加密操作遭到破壞。信任在于,HSM沒有漏洞,這些漏洞可能威脅到執行的加密過程的完整性。


        要獲得受信任的狀態(例如FIPS 140-2認證),HSM必須:

        • 由經過特殊實驗室測試和認證的專用硬件構建。

        • 正在運行以安全性為重點的操作系統。

        • 通過受內部規則控制的網絡接口訪問受限

        • 積極隱藏和保護密碼信息


        RNG在密碼學中的作用

        密碼算法需要密鑰。在密鑰生成過程中需要一個隨機數生成器(RNG),也稱為隨機位生成器(RBG),以創建一個隨機(強)密鑰以及用于其他加密目的,例如初始化向量和隨機數。通常,真實隨機數生成器(TRNG)提供隨機性或“熵”源來播種偽隨機數生成器(PRNG),也稱為確定性隨機位生成器(DRBG)。RNG必須至少能夠像消耗它們一樣快地生成隨機數。 


        RNG評估要求

        實施HSM時,存在NIST聯邦信息處理標準(FIPS)PUB 140-2中指定的合規性要求,該要求要求HSM使用符合SP 800-90A(使用確定性隨機位生成器的隨機數生成的建議)的DRBG。以及符合SP 800-90B(用于隨機位生成的熵源的推薦)的熵源。


        開發人員必須通過設計和/或測試過程的結合以及操作過程中的連續檢查,證明其熵源是足夠隨機的,因為任何故障都可能對生成安全的加密密鑰產生災難性的后果。


        RNG可以計算機生成嗎?

        RNG需要熵,并且熵源自噪聲源。噪聲源可分為兩類:物理噪聲源使用專用硬件生成隨機性;非物理噪聲源使用系統數據(例如API函數的輸出,RAM數據或系統時間)或人工輸入(例如鼠標移動)來產生隨機性。


        通常,物理噪聲源被認為為諸如HSM的苛刻應用提供了更大的隨機性。我們周圍的自然環境充滿了隨機過程。一些電氣部件是經典示例:

        1. 雪崩二極管(齊納二極管擊穿噪聲),反向偏置

        2. 大氣噪聲(通過連接的無線電接收器)

        3. 電阻器中的熱噪聲(已放大)

        4. 放射性衰變等

        可以將此類隨機源分為兩類-基于量子效應或不基于量子效應?;诹孔拥脑丛趯崿F中非常復雜,但是會給出穩定的結果。非量子光源更經濟,但會產生不穩定的結果。質量取決于各種因素,例如溫度。


        最佳的建議

        典型的HSM配備了非常好的硬件RNG,并且安裝在高度安全的條件下-包括恒溫器,穩定的電源,非常強大的后處理計算機等。

        建議很簡單:不要重新發明輪子,請使用HSM。

        HSM具有適當的,經過測試的,穩定的RNG,且已記錄其合規性,例如FIPS 140-2。


        集中式密鑰生命周期管理應運而生

        大型組織嚴重依賴加密技術,因此要求分散環境中各個地方的可用性和吞吐量。以一家國際銀行為例;在紐約、倫敦和香港,可能需要針對與交易授權、文件簽名或支付卡相關的各種應用生成密鑰。如何在不損害安全性的情況下解決業務效率的困境?


        在下面的內容中,我們描述了如何以集中的方式創建和管理密鑰,并且應用程序/密鑰目標位于不同的位置,但是在HSM之外,從未加密過密鑰的地方永遠都不可用。所描述的解決方案將確??蓪徲嬓院腿罩居涗浽谝粋€中心位置,以實現銀行級合規性,例如PCI-DSS。


        下圖顯示了具有集中式密鑰管理的分布式體系結構。在連接到中央密鑰管理服務器的HSM內部,RNG負責生成各種密鑰,包括負責管理安全群集的密鑰。密碼應用程序或密鑰目標之一所需的應用程序密鑰將由KMS管理。密鑰的另一個示例是管理任務(例如密鑰分發)所需的密鑰加密密鑰(KEK)。KEK與密鑰目標共享,并在將其從密鑰管理系統推送到密鑰目標時用于加密應用程序密鑰。

        隨機數生成器在HSM和密鑰管理中的作用(圖2)

        RNG隨機編號HSM密鑰管理

        為了提供高級別的安全性和安全密鑰使用,應在密鑰目標上附加附加的HSM。在分布式方案中,密鑰管理系統的HSM中的RNG將遠程生成各種應用程序密鑰,而KMS服務器將安全地分發整個企業所需的密鑰。因此,可以從中央KMS管理密鑰的生命周期,并通過連接到密鑰目標的HSM保護應用程序使用的密鑰。


        計算機化的密鑰管理系統提供了在整個生命周期的各個位置自動管理大量密鑰所需的框架,而不是嘗試通過手工方法跟蹤密鑰的生命周期。


        摘要

        經認證的隨機數生成器應負責所有加密密鑰的生成。硬件安全模塊是密鑰,RNG和密鑰生成過程的安全主機。


        密鑰管理系統管理這些密鑰的生命周期,以實現銀行級的可審計性。為了應對跨越物理障礙和邊界的24/7現代業務需求,集中式密鑰管理可以協調HSM,并以最安全的方式隨時隨地提供加密密鑰的可用性。換句話說,集中式密鑰管理可用于從單個點保護多個應用程序及其密鑰。RNG生成密鑰,HSM安全地存儲和保護這些密鑰的使用,但這是密鑰管理系統在幕后工作,以管理密鑰的生命周期以確保其有效性。


        通過這種方法,使用具有高質量RNG 的HSM通過中央KMS生成高價值應用程序密鑰。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精