- 密码学教程
- 密码学 - 首页
- 密码学 - 起源
- 密码学 - 历史
- 密码学 - 原理
- 密码学 - 应用
- 密码学 - 优点与缺点
- 密码学 - 现代
- 密码学 - 传统密码
- 密码学 - 加密的需求
- 密码学 - 双重强度加密
- 密码系统
- 密码系统
- 密码系统 - 组成部分
- 密码系统攻击
- 密码系统 - 彩虹表攻击
- 密码系统 - 字典攻击
- 密码系统 - 暴力攻击
- 密码系统 - 密码分析技术
- 密码学类型
- 密码系统 - 类型
- 公钥加密
- 现代对称密钥加密
- 密码学哈希函数
- 密钥管理
- 密码系统 - 密钥生成
- 密码系统 - 密钥存储
- 密码系统 - 密钥分发
- 密码系统 - 密钥吊销
- 分组密码
- 密码系统 - 流密码
- 密码学 - 分组密码
- 密码学 - Feistel 分组密码
- 分组密码操作模式
- 分组密码操作模式
- 电子密码本 (ECB) 模式
- 密码分组链接 (CBC) 模式
- 密码反馈 (CFB) 模式
- 输出反馈 (OFB) 模式
- 计数器 (CTR) 模式
- 经典密码
- 密码学 - 反向密码
- 密码学 - 凯撒密码
- 密码学 - ROT13 算法
- 密码学 - 换位密码
- 密码学 - 加密换位密码
- 密码学 - 解密换位密码
- 密码学 - 乘法密码
- 密码学 - 仿射密码
- 密码学 - 简单替换密码
- 密码学 - 简单替换密码的加密
- 密码学 - 简单替换密码的解密
- 密码学 - 维吉尼亚密码
- 密码学 - 维吉尼亚密码的实现
- 现代密码
- Base64 编码与解码
- 密码学 - XOR 加密
- 替换技术
- 密码学 - 单表替换密码
- 密码学 - 单表替换密码的破解
- 密码学 - 多表替换密码
- 密码学 - Playfair 密码
- 密码学 - 希尔密码
- 多表替换密码
- 密码学 - 一次性密码本密码
- 一次性密码本密码的实现
- 密码学 - 换位技术
- 密码学 - 栅栏密码
- 密码学 - 列移位密码
- 密码学 - 隐写术
- 对称算法
- 密码学 - 数据加密
- 密码学 - 加密算法
- 密码学 - 数据加密标准
- 密码学 - 三重DES
- 密码学 - 双重DES
- 高级加密标准
- 密码学 - AES 结构
- 密码学 - AES 变换函数
- 密码学 - 字节替换变换
- 密码学 - 行移位变换
- 密码学 - 列混合变换
- 密码学 - 轮密钥加变换
- 密码学 - AES 密钥扩展算法
- 密码学 - Blowfish 算法
- 密码学 - SHA 算法
- 密码学 - RC4 算法
- 密码学 - Camellia 加密算法
- 密码学 - ChaCha20 加密算法
- 密码学 - CAST5 加密算法
- 密码学 - SEED 加密算法
- 密码学 - SM4 加密算法
- IDEA - 国际数据加密算法
- 公钥(非对称)密码学算法
- 密码学 - RSA 算法
- 密码学 - RSA 加密
- 密码学 - RSA 解密
- 密码学 - 创建 RSA 密钥
- 密码学 - 破解 RSA 密码
- 密码学 - ECDSA 算法
- 密码学 - DSA 算法
- 密码学 - Diffie-Hellman 算法
- 密码学中的数据完整性
- 密码学中的数据完整性
- 消息认证
- 密码学数字签名
- 公钥基础设施
- 哈希
- MD5(消息摘要算法 5)
- SHA-1(安全哈希算法 1)
- SHA-256(安全哈希算法 256 位)
- SHA-512(安全哈希算法 512 位)
- SHA-3(安全哈希算法 3)
- 哈希密码
- Bcrypt 哈希模块
- 现代密码学
- 量子密码学
- 后量子密码学
- 密码学协议
- 密码学 - SSL/TLS 协议
- 密码学 - SSH 协议
- 密码学 - IPsec 协议
- 密码学 - PGP 协议
- 图像与文件加密
- 密码学 - 图像
- 密码学 - 文件
- 隐写术 - 图像
- 文件加密和解密
- 密码学 - 文件加密
- 密码学 - 文件解密
- 物联网中的密码学
- 物联网安全挑战、威胁和攻击
- 物联网安全的加密技术
- 物联网设备的通信协议
- 常用的加密技术
- 自定义构建加密算法(混合加密)
- 云加密
- 量子密码学
- 密码学中的图像隐写术
- DNA 密码学
- 密码学中的一次性密码 (OTP) 算法
- 区别
- 密码学 - MD5 与 SHA1
- 密码学 - RSA 与 DSA
- 密码学 - RSA 与 Diffie-Hellman
- 密码学与密码学
- 密码学 - 密码学与密码分析
- 密码学 - 经典与量子
- 密码学与隐写术
- 密码学与加密
- 密码学与网络安全
- 密码学 - 流密码与分组密码
- 密码学 - AES 与 DES 密码
- 密码学 - 对称与非对称
- 密码学有用资源
- 密码学 - 快速指南
- 密码学 - 讨论
密码学 - 密钥存储
在上一章中,我们学习了加密密钥的生成,现在在本章中,我们将讨论密钥存储。
密码学密钥类似于用于锁定和解锁私有数据的秘密密码。这些密钥用于加密数据和消息,以便只有预期的接收者在安全发送时才能解密和阅读它们。将这些密钥存储起来,以便只有授权用户可以安全地访问它们的行为称为密钥存储。
将您的密钥放在安全的地方
密钥的安全取决于您将它们保存在哪里。您的密钥应保存在访问受限、加密稳健且与它们旨在保护的数据隔离的位置。替代方案包括加密文件或数据库、云密钥管理服务 (KMS) 和硬件安全模块 (HSM)。此外,您需要经常备份密钥并将它们存储在其他地方,以防丢失或损坏。
密钥存储的重要性
如果您的密钥被未经授权的人员窃取,则可以访问加密数据。因此,保护您的密钥对于确保数据的完整性和安全性非常重要。
随着基于 PKI 的解决方案的使用越来越多,确保良好的密钥管理变得越来越重要。现在让我们检查一些其他存储加密密钥的方法 -
操作系统和浏览器的证书/密钥存储
例如 Mac OS 密钥串和 Windows 证书存储。
这些是本地存储的公钥/私钥对,它们是包含在操作系统和浏览器中的基于软件的数据库。
广泛用于其简单的用户界面和轻松的程序交互。
提供自定义,包括启用备份和强大的私钥保护的功能。
即使在考虑了不可导出设置和对强大的密码安全性的要求的情况下,也可能存在潜在的漏洞。
适用于客户端身份验证、Web 服务器的 SSL 证书和数字签名等程序。
带有 .pfx 和 .jks(密钥库)的文件
密钥对使用 PKCS#12(.pfx 或 .p12)和 .jks(Java 密钥库)等格式存储在受密码保护的文件中。
这些文件允许您将它们存储在任何地方,甚至在远程服务器上。
限制对这些文件的访问时要小心,并确保您的密码足够强。
适用于与政府服务进行安全通信和代码签名等用途。
加密智能卡和令牌
通过将私钥保存在硬件上并使其不可导出,我们可以提高安全性。
通过要求每次使用时进行密码身份验证来提高安全性。
能够在多台计算机上安全运行,而无需复制密钥。
通常用于客户端身份验证、代码签名和文档签名。
加密硬件的引入有时是由合规性要求驱动的,例如 FIPS。
HSM(硬件安全模块)
提供自动化的工作流程和基于硬件的密钥存储。
传统的 HSM 是物理设备;类似的好处可以通过基于云的解决方案(如 Microsoft Azure 的 Key Vault)来实现。
有助于实现监管要求并签署大量文档或代码。
能够提供其他功能,例如唯一的签名身份,并可以连接到公共 CA。
未来一代密钥存储技术
刚刚介绍的主要存储解决方案有点传统,并且已经存在了一段时间。密钥存储也无法避免物联网的影响,并且正在创建新的解决方案以符合这一趋势,就像信息安全领域的其他所有内容一样。
随着越来越多的设备上线并需要安全通信和身份验证,基于 PKI 的解决方案在开发人员和制造商中越来越受欢迎。这导致了对私钥保护的新要求、技术和考虑因素。我们已经看到了下面列出的两种趋势。
TPM(可信平台模块)
尽管 TPM 本身并不新鲜,但使用它们来保护私钥正变得越来越普遍。根密钥可以得到保护,并且应用程序生成的附加密钥可以存储(或包装)在 TPM 中。这对于笔记本电脑、服务器和物联网设备制造商等端点来说是一种非常有用的身份验证技术,因为没有 TPM 应用程序密钥是不可用的。尽管 TPM 已经在许多笔记本电脑上成为标准,但我们还没有看到它们在企业市场中得到广泛使用。但是,它们在物联网中被广泛用作硬件信任根,以确保设备身份的安全。
PUF(物理不可克隆函数)
称为物理不可克隆函数 (PUF) 的技术是密钥保护的范式转变。密钥不会保存在存储中,在那里它们可能会受到物理攻击,而是从芯片 SRAM 内存的特定物理特性生成,并且仅在设备通电时存在。也就是说,私钥可以根据需要重复创建(在设备使用期间),而不是安全地存储。由于它们利用了硅位模式中的自然随机性和基于 SRAM 的 PUF,因此可以保证它们是唯一的。
与可信执行环境 (TEE) 相结合时,PUF 技术为市场对经济高效且易于实施的超安全密钥保护的需求提供了有吸引力的解决方案。与 PKI 相结合时,PUF 提供了完整的身份解决方案。
密钥泄露:会发生什么?
如果密钥遭到黑客攻击(即丢失、被盗或损坏),任何密钥保护的信息都可能被泄露。这可能导致非法金融交易或机密或私人信息以及其他敏感或有价值数据的泄露。因此,这会对组织的声誉产生负面影响,导致处罚,并最终降低公司的价值或可能迫使其破产。因此,密钥需要像其旨在保护的对象一样谨慎处理。
必须快速撤销和替换受损密钥,并进行调查以确定造成的损害严重程度和导致泄露的系统,以防止再次发生此类事件。