關(guān) 閉

新聞中心

EEPW首頁(yè) > 安全與國(guó)防 > 設(shè)計(jì)應(yīng)用 > 如何保障加密密鑰的安全

如何保障加密密鑰的安全

—— 想要安全保管數(shù)據(jù),請(qǐng)先保管好密鑰
作者: 時(shí)間:2024-12-11 來(lái)源:EEPW 收藏


本文引用地址:http://2s4d.com/article/202412/465408.htm

1733888621962600.png

(使用AI生成)

互聯(lián)網(wǎng)上一直在進(jìn)行著道高一尺,魔高一丈的較量。不管工程師想出多少解決方案來(lái)保護(hù)寶貴的數(shù)據(jù),黑客總能找到入侵途徑。當(dāng)今最好的安全工具是加密 — 就是對(duì)數(shù)據(jù)進(jìn)行編碼,即使數(shù)據(jù)被攔截,如果沒(méi)有加密“密鑰”,也無(wú)法訪問(wèn)。從理論上來(lái)說(shuō)這沒(méi)問(wèn)題,但實(shí)際上,騙子會(huì)利用加密管理中的漏洞。這些漏洞會(huì)導(dǎo)致數(shù)據(jù)泄露,就像鎖好家門(mén)卻把鑰匙放在門(mén)墊下面一樣,因?yàn)殍€匙沒(méi)有妥善保管,所以家里的平板電視很容易被盜。一旦黑客拿到密鑰,就會(huì)解密所有數(shù)據(jù),然后賣給出價(jià)最高的人。

有多種方法可以堵上加密安全的漏洞,但大多數(shù)解決方案都需要熟練的編程人員和嚴(yán)謹(jǐn)?shù)陌踩鞒獭_@些超出了許多公司的資源能力,因此他們只能寄希望于黑客不會(huì)找他們的麻煩。不過(guò)現(xiàn)在,這些公司可以通過(guò)部署一個(gè)或多個(gè) () 來(lái)提升他們的安防能力,而無(wú)需承擔(dān)昂貴的編碼成本。

通過(guò)提供高度安全、防篡改的隔離環(huán)境來(lái)保護(hù)公司最寶貴的,從而杜絕黑客入侵。沒(méi)有密鑰,就算黑客截取到數(shù)據(jù),也不會(huì)造成任何威脅,因?yàn)樗麄冇肋h(yuǎn)無(wú)法讀取這些數(shù)據(jù)。

加密的工作原理

竊取互聯(lián)網(wǎng)上的數(shù)據(jù)相對(duì)容易,但如果數(shù)據(jù)無(wú)法讀取,對(duì)于黑客來(lái)說(shuō)也毫無(wú)用處。加密是通過(guò)將純文本編碼為密文格式來(lái)實(shí)現(xiàn)。生成的信息看起來(lái)像是字母、符號(hào)和數(shù)字的隨機(jī)組合,但實(shí)際有自己的意義。只有知道信息是如何加密的人,才能通過(guò)密碼恢復(fù)原始數(shù)據(jù)。

這種密碼以加密密匙的形式保存。這些密鑰本質(zhì)上是一組按照既定規(guī)則運(yùn)行的算法,用于加密和解密數(shù)據(jù),每個(gè)密鑰都是隨機(jī)且唯一的。發(fā)送方和接收方都需要密鑰才能使加密工作正常運(yùn)行。最常用的加密技術(shù)是高級(jí)加密標(biāo)準(zhǔn) (AES)。它采用128位密鑰,如果沒(méi)有它,即便用世界上最強(qiáng)大的超級(jí)計(jì)算機(jī),要破解現(xiàn)代密文也幾乎是不可能的。

加密并非萬(wàn)無(wú)一失

加了密就一定安全嗎? 目前,大約95%的互聯(lián)網(wǎng)流量都是加密的,[1]但幾乎每天都有那些自以為安全的公司遭到網(wǎng)絡(luò)攻擊的頭條新聞。上個(gè)月,一個(gè)大型交通樞紐遭受網(wǎng)絡(luò)攻擊,造成了重大風(fēng)險(xiǎn),這是關(guān)鍵基礎(chǔ)設(shè)施面臨威脅的又一例證。[2]

黑客通常會(huì)先獲取密鑰,然后利用它打開(kāi)公司數(shù)據(jù)的大門(mén)。黑客一旦入侵公司內(nèi)網(wǎng),會(huì)首先查看數(shù)據(jù)庫(kù)、文件系統(tǒng)或應(yīng)用程序配置文件,因?yàn)檫@些是最常見(jiàn)的密鑰存儲(chǔ)位置。這種方法經(jīng)常會(huì)成功,因?yàn)橛行┕緦?duì)密鑰的管理不夠小心。諷刺的是,這就像購(gòu)買了世界上最好的安全系統(tǒng),卻在門(mén)上貼了通行碼。

一種防御措施是用另一個(gè)密鑰對(duì)密鑰進(jìn)行加密,精心設(shè)計(jì)一個(gè)密鑰 (KEK),然后將其存儲(chǔ)在另一個(gè)安全位置 — 但很少有人這樣做。很多公司經(jīng)常犯的另一個(gè)錯(cuò)誤是使用相同的來(lái)保護(hù)所有數(shù)據(jù)。因此,一旦黑客拿到密鑰,就能讀取所有數(shù)據(jù)。網(wǎng)絡(luò)安全專家建議將數(shù)據(jù)存儲(chǔ)在多個(gè)安全區(qū),每個(gè)區(qū)都有自己的密鑰。遺憾的是,這條建議常常被忽視。

:加密的下一步

由于各種網(wǎng)絡(luò)風(fēng)險(xiǎn)為黑客破解加密技術(shù)提供了機(jī)會(huì),網(wǎng)絡(luò)安全行業(yè)通過(guò) () 減輕了密鑰管理的麻煩。HSM用于保護(hù)和管理加密密鑰,并執(zhí)行加密和解密過(guò)程。

HSM是一種物理器件,通過(guò)提供安全的環(huán)境進(jìn)行密鑰管理來(lái)加強(qiáng)數(shù)據(jù)保護(hù)。它以插卡、智能卡或其他外接器件的形式出現(xiàn),連接到網(wǎng)絡(luò)服務(wù)器,從云端訪問(wèn),或作為獨(dú)立硬件使用。這種高級(jí)安全工具使公司能夠輕松實(shí)施保護(hù)策略。例如,公司可以使用HSM來(lái)隱藏商業(yè)機(jī)密或知識(shí)產(chǎn)權(quán) (IP),并通過(guò)僅允許授權(quán)人員訪問(wèn)此模塊來(lái)確保數(shù)據(jù)安全。

HSM具有一系列防止非法使用的特性, 包括:

●   硬件和軟件均按照聯(lián)邦信息處理標(biāo)準(zhǔn)化 (FIPS) 140-2等政府高安全標(biāo)準(zhǔn)制造。

●   通過(guò)硬化處理,HSM很難被干擾或故意損壞,從而具有抗篡改性。

●   安裝在安全區(qū)域,與其他進(jìn)程隔離。通過(guò)將HSM放在第三方數(shù)據(jù)中心,安全性可以得到進(jìn)一步提升。

●   支持一系列用于開(kāi)發(fā)定制應(yīng)用程序的應(yīng)用程序編程接口 (API),包括公鑰加密標(biāo)準(zhǔn) (PKCS) 和下一代密碼學(xué)API (Cryptography API: Next Generation)。

HSM負(fù)責(zé)管理加密密鑰生命周期的各個(gè)階段 — 從創(chuàng)建到銷毀。最初,HSM使用真隨機(jī)數(shù)生成器生成(或“提供”)密鑰。然后HSM復(fù)制密鑰并將其作為備份儲(chǔ)存,以防原始版本丟失或損壞。有些HSM還會(huì)對(duì)備份密鑰加密。密鑰投入使用后,HSM將根據(jù)行業(yè)標(biāo)準(zhǔn)以及用戶的內(nèi)部系統(tǒng)對(duì)其進(jìn)行控制和監(jiān)控。 HSM還將管理密鑰的輪換,在現(xiàn)有密鑰過(guò)期時(shí)更換新密鑰。

最后,HSM會(huì)在密鑰失去使用價(jià)值后將其停用。此類密鑰會(huì)長(zhǎng)期離線保存,以便在需要訪問(wèn)其最初加密的數(shù)據(jù)時(shí)使用。只有在用戶確認(rèn)不再需要某個(gè)密鑰后,才會(huì)將其安全、永久地銷毀。          

結(jié)語(yǔ)

互聯(lián)網(wǎng)讓數(shù)據(jù)能夠在發(fā)送方和接收方之間快速傳遞,同時(shí)也讓那些心懷惡意的人有了獲取這些數(shù)據(jù)的機(jī)會(huì)。為防止泄密,開(kāi)發(fā)人員使用AES-128加密技術(shù),按規(guī)定的方式對(duì)數(shù)據(jù)進(jìn)行加密,以便能在遠(yuǎn)端使用適當(dāng)?shù)拿荑€解密。這種方法使黑客無(wú)法讀取數(shù)據(jù),除非他們拿到密鑰。所以,他們可能會(huì)對(duì)數(shù)據(jù)進(jìn)行簡(jiǎn)單解鎖,然后再兜售給不懷好意的第三方。

因此,保護(hù)密鑰就成為了數(shù)據(jù)安全的重中之重。雖然這項(xiàng)工作可能很繁重,但HSM通過(guò)確保安全保管加密密鑰,讓最有決心的黑客也無(wú)法獲取,幫用戶免去了許多麻煩。

作者簡(jiǎn)介

image.png

Steven Keeping曾獲得英國(guó)布萊頓大學(xué)的BEng(榮譽(yù)學(xué)士)學(xué)位。他先在Eurotherm和BOC的電子部門(mén)工作了七年, 然后又加入了《Electronic Production》雜志,擔(dān)任電子制造、測(cè)試和設(shè)計(jì)領(lǐng)域的高級(jí)編輯以及出版方面的工作長(zhǎng)達(dá)13年。Steven還曾在英國(guó)和澳大利亞的三一鏡報(bào)、CMP和RBI工作過(guò),負(fù)責(zé)《What's New in Electronics》和《Australian Electronics Engineering》雜志的相關(guān)工作。2006年,Steven成為了專攻電子行業(yè)的獨(dú)立記者,他目前居住在悉尼。



評(píng)論


技術(shù)專區(qū)

關(guān)閉