曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        保護加密密鑰的生命周期
        發布時間:2020-05-15 16:06:30   閱讀次數:

        保護加密密鑰的生命周期(圖1)

        密鑰生命周期管理的重要性

        要考慮的最重要方面是密鑰的用途。必須始終注意不要將任何密鑰用于不同目的。在這里,數據密鑰(用于加密數據)和密鑰加密密鑰(KEK)之間存在重要區別,它們完全用于保護其他密鑰。從根本上說,密鑰用于加密-但是加密通常充當其他用途(例如身份驗證和簽名)的狡猾代理(您可以基于密鑰所有權證明自己是誰)。


        確定鑰匙的使用壽命和鑰匙強度

        生成密鑰后,密鑰管理系統應控制密鑰在其生命周期中進展的狀態順序,并允許授權的管理員在必要時進行處理。美國國家標準技術研究院(NIST)為加密密鑰的生命周期的大多數方面提供了嚴格的指導原則,并且還定義了一些如何確定每個密鑰的加密期限的標準。加密期是密鑰的使用壽命,取決于以下因素,取決于以下因素:

        • 要保護的數據或密鑰的敏感性

        • 有多少數據或多少密鑰受到保護


        根據此信息,可以確定密鑰的使用壽命以及密鑰長度(該長度與系統的加密強度成正比)。算法(以及密鑰類型)取決于密鑰的用途;例如,DSA僅適用于簽名目的,而RSA適用于簽名和加密。NIST指定了經受住時間考驗的密碼算法。


        偶爾需要根據意外情況更改密鑰狀態

        在某些情況下,授權管理員有必要對密鑰的參數進行更改,從而導致其生命周期內的狀態發生變化。(其中一些仍可以通過密鑰管理系統自動處理。)

        • 密鑰或關聯數據或加密密鑰是否被懷疑泄露

        • 更改供應商對產品的支持或需要更換產品

        • 技術進步使其有可能在以前不可行的地方發動攻擊

        • 所有權變更,其中密鑰變更與責任分配變更相關

        • 規定最長使用壽命的法規要求,合同要求或政策(加密期限)


        密鑰生命周期基本階段的描述

        以下各段檢查密鑰生命周期的各個階段以及在這些階段中密鑰管理解決方案應如何運行。請注意,每個密鑰管理解決方案 都是不同的,因此并非所有密鑰管理解決方案都將使用相同的階段。有些根本不使用,可以添加其他階段,例如激活前激活和激活后。


        生成

        密鑰可以通過密鑰管理系統、硬件安全模塊HSM)或受信任的第三方(TTP)生成,后者應為種子使用加密安全的真實隨機數生成器(TRNG)。然后,密鑰及其所有屬性將存儲在密鑰存儲數據庫中(必須通過主密鑰進行加密)。屬性包括名稱,激活日期,大小和實例之類的項目。密鑰可以在創建時激活,也可以設置為在以后自動或手動激活。


        每個密鑰都應具有與其相關聯的密鑰強度(通常以位數為單位),該強度可以為受保護數據的整個使用壽命提供足夠的保護,并在此生命周期中承受攻擊的能力。不同的密鑰長度將取決于使用它的算法。建議使用經過全面評估和測試的標準密碼算法。


        備份與儲存

        為了找回在使用過程中丟失的密鑰(例如由于設備故障或忘記密碼),應提供安全的備份副本。備份密鑰可以以受保護的形式存儲在外部介質(CD,USB驅動器等)上,也可以使用現有的傳統備份解決方案(本地或網絡)進行存儲。當一個對稱密鑰或非對稱私鑰被備份,則必須在存儲前被加密。


        配送和裝載

        部署和加載階段的目標是通過手動或電子方式將新密鑰安裝到安全的加密設備中。這是密鑰安全的最關鍵階段,只有在手動安裝的情況下,才應由授權人員執行。對于手動分發(這是迄今為止在支付空間中最常見的共享密鑰分發方法),必須分發密鑰加密密鑰(KEK)并將其裝入密鑰共享中,以免看不到完整密鑰。一旦安裝了KEK,由于可以對數據密鑰進行加密(在此上下文中也稱為打包),因此可以安全地共享它們。最佳實踐密鑰管理標準(例如PCI DSS)現在要求-以及加密密鑰材料-密鑰使用需要得到同等保護(例如PIN塊加密/解密)。盡管這是一種非常安全,眾所周知且已建立的密鑰分配方法,但是它是勞動密集型的,并且擴展性不佳(與密鑰共享的每個點都需要一個新的KEK);對于大規模密鑰部署(例如,管理整個安全Web服務器場的密鑰),非對稱密鑰分發技術確實是唯一可行的方法。在這種情況下,使用密鑰共享共享KEK的初始步驟被部署公鑰的簡單技術所取代。只要對公鑰(或其指紋)進行了充分的身份驗證,就可以安全地傳輸密鑰。管理整個安全Web服務器場的密鑰),非對稱密鑰分發技術確實是唯一可行的方法。在這種情況下,使用密鑰共享共享KEK的初始步驟被部署公鑰的簡單技術所取代。只要對公鑰(或其指紋)進行了充分的身份驗證,就可以安全地傳輸密鑰。管理整個安全Web服務器場的密鑰),非對稱密鑰分發技術確實是唯一可行的方法。在這種情況下,使用密鑰共享共享KEK的初始步驟被部署公鑰的簡單技術所取代。只要對公鑰(或其指紋)進行了充分的身份驗證,就可以安全地傳輸密鑰。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精