- 密碼學教程
- 密碼學 - 首頁
- 密碼學 - 起源
- 密碼學 - 歷史
- 密碼學 - 原理
- 密碼學 - 應用
- 密碼學 - 優點與缺點
- 密碼學 - 現代
- 密碼學 - 傳統密碼
- 密碼學 - 加密的需求
- 密碼學 - 雙重強度加密
- 密碼系統
- 密碼系統
- 密碼系統 - 組成部分
- 密碼系統攻擊
- 密碼系統 - 彩虹表攻擊
- 密碼系統 - 字典攻擊
- 密碼系統 - 暴力攻擊
- 密碼系統 - 密碼分析技術
- 密碼學型別
- 密碼系統 - 型別
- 公鑰加密
- 現代對稱金鑰加密
- 密碼學雜湊函式
- 金鑰管理
- 密碼系統 - 金鑰生成
- 密碼系統 - 金鑰儲存
- 密碼系統 - 金鑰分發
- 密碼系統 - 金鑰吊銷
- 分組密碼
- 密碼系統 - 流密碼
- 密碼學 - 分組密碼
- 密碼學 - Feistel 分組密碼
- 分組密碼操作模式
- 分組密碼操作模式
- 電子密碼本 (ECB) 模式
- 密碼分組連結 (CBC) 模式
- 密碼反饋 (CFB) 模式
- 輸出反饋 (OFB) 模式
- 計數器 (CTR) 模式
- 經典密碼
- 密碼學 - 反向密碼
- 密碼學 - 凱撒密碼
- 密碼學 - ROT13 演算法
- 密碼學 - 換位密碼
- 密碼學 - 加密換位密碼
- 密碼學 - 解密換位密碼
- 密碼學 - 乘法密碼
- 密碼學 - 仿射密碼
- 密碼學 - 簡單替換密碼
- 密碼學 - 簡單替換密碼的加密
- 密碼學 - 簡單替換密碼的解密
- 密碼學 - 維吉尼亞密碼
- 密碼學 - 維吉尼亞密碼的實現
- 現代密碼
- Base64 編碼與解碼
- 密碼學 - XOR 加密
- 替換技術
- 密碼學 - 單表替換密碼
- 密碼學 - 單表替換密碼的破解
- 密碼學 - 多表替換密碼
- 密碼學 - Playfair 密碼
- 密碼學 - 希爾密碼
- 多表替換密碼
- 密碼學 - 一次性密碼本密碼
- 一次性密碼本密碼的實現
- 密碼學 - 換位技術
- 密碼學 - 柵欄密碼
- 密碼學 - 列移位密碼
- 密碼學 - 隱寫術
- 對稱演算法
- 密碼學 - 資料加密
- 密碼學 - 加密演算法
- 密碼學 - 資料加密標準
- 密碼學 - 三重DES
- 密碼學 - 雙重DES
- 高階加密標準
- 密碼學 - AES 結構
- 密碼學 - AES 變換函式
- 密碼學 - 位元組替換變換
- 密碼學 - 行移位變換
- 密碼學 - 列混合變換
- 密碼學 - 輪金鑰加變換
- 密碼學 - AES 金鑰擴充套件演算法
- 密碼學 - Blowfish 演算法
- 密碼學 - SHA 演算法
- 密碼學 - RC4 演算法
- 密碼學 - Camellia 加密演算法
- 密碼學 - ChaCha20 加密演算法
- 密碼學 - CAST5 加密演算法
- 密碼學 - SEED 加密演算法
- 密碼學 - SM4 加密演算法
- IDEA - 國際資料加密演算法
- 公鑰(非對稱)密碼學演算法
- 密碼學 - RSA 演算法
- 密碼學 - RSA 加密
- 密碼學 - RSA 解密
- 密碼學 - 建立 RSA 金鑰
- 密碼學 - 破解 RSA 密碼
- 密碼學 - ECDSA 演算法
- 密碼學 - DSA 演算法
- 密碼學 - Diffie-Hellman 演算法
- 密碼學中的資料完整性
- 密碼學中的資料完整性
- 訊息認證
- 密碼學數字簽名
- 公鑰基礎設施
- 雜湊
- MD5(訊息摘要演算法 5)
- SHA-1(安全雜湊演算法 1)
- SHA-256(安全雜湊演算法 256 位)
- SHA-512(安全雜湊演算法 512 位)
- SHA-3(安全雜湊演算法 3)
- 雜湊密碼
- Bcrypt 雜湊模組
- 現代密碼學
- 量子密碼學
- 後量子密碼學
- 密碼學協議
- 密碼學 - SSL/TLS 協議
- 密碼學 - SSH 協議
- 密碼學 - IPsec 協議
- 密碼學 - PGP 協議
- 影像與檔案加密
- 密碼學 - 影像
- 密碼學 - 檔案
- 隱寫術 - 影像
- 檔案加密和解密
- 密碼學 - 檔案加密
- 密碼學 - 檔案解密
- 物聯網中的密碼學
- 物聯網安全挑戰、威脅和攻擊
- 物聯網安全的加密技術
- 物聯網裝置的通訊協議
- 常用的加密技術
- 自定義構建加密演算法(混合加密)
- 雲加密
- 量子密碼學
- 密碼學中的影像隱寫術
- DNA 密碼學
- 密碼學中的一次性密碼 (OTP) 演算法
- 區別
- 密碼學 - MD5 與 SHA1
- 密碼學 - RSA 與 DSA
- 密碼學 - RSA 與 Diffie-Hellman
- 密碼學與密碼學
- 密碼學 - 密碼學與密碼分析
- 密碼學 - 經典與量子
- 密碼學與隱寫術
- 密碼學與加密
- 密碼學與網路安全
- 密碼學 - 流密碼與分組密碼
- 密碼學 - AES 與 DES 密碼
- 密碼學 - 對稱與非對稱
- 密碼學有用資源
- 密碼學 - 快速指南
- 密碼學 - 討論
密碼學 - 金鑰儲存
在上一章中,我們學習了加密金鑰的生成,現在在本章中,我們將討論金鑰儲存。
密碼學金鑰類似於用於鎖定和解鎖私有資料的秘密密碼。這些金鑰用於加密資料和訊息,以便只有預期的接收者在安全傳送時才能解密和閱讀它們。將這些金鑰儲存起來,以便只有授權使用者可以安全地訪問它們的行為稱為金鑰儲存。
將您的金鑰放在安全的地方
金鑰的安全取決於您將它們儲存在哪裡。您的金鑰應儲存在訪問受限、加密穩健且與它們旨在保護的資料隔離的位置。替代方案包括加密檔案或資料庫、雲金鑰管理服務 (KMS) 和硬體安全模組 (HSM)。此外,您需要經常備份金鑰並將它們儲存在其他地方,以防丟失或損壞。
金鑰儲存的重要性
如果您的金鑰被未經授權的人員竊取,則可以訪問加密資料。因此,保護您的金鑰對於確保資料的完整性和安全性非常重要。
隨著基於 PKI 的解決方案的使用越來越多,確保良好的金鑰管理變得越來越重要。現在讓我們檢查一些其他儲存加密金鑰的方法 -
作業系統和瀏覽器的證書/金鑰儲存
例如 Mac OS 金鑰串和 Windows 證書儲存。
這些是本地儲存的公鑰/私鑰對,它們是包含在作業系統和瀏覽器中的基於軟體的資料庫。
廣泛用於其簡單的使用者介面和輕鬆的程式互動。
提供自定義,包括啟用備份和強大的私鑰保護的功能。
即使在考慮了不可匯出設定和對強大的密碼安全性的要求的情況下,也可能存在潛在的漏洞。
適用於客戶端身份驗證、Web 伺服器的 SSL 證書和數字簽名等程式。
帶有 .pfx 和 .jks(金鑰庫)的檔案
金鑰對使用 PKCS#12(.pfx 或 .p12)和 .jks(Java 金鑰庫)等格式儲存在受密碼保護的檔案中。
這些檔案允許您將它們儲存在任何地方,甚至在遠端伺服器上。
限制對這些檔案的訪問時要小心,並確保您的密碼足夠強。
適用於與政府服務進行安全通訊和程式碼簽名等用途。
加密智慧卡和令牌
透過將私鑰儲存在硬體上並使其不可匯出,我們可以提高安全性。
透過要求每次使用時進行密碼身份驗證來提高安全性。
能夠在多臺計算機上安全執行,而無需複製金鑰。
通常用於客戶端身份驗證、程式碼簽名和文件簽名。
加密硬體的引入有時是由合規性要求驅動的,例如 FIPS。
HSM(硬體安全模組)
提供自動化的工作流程和基於硬體的金鑰儲存。
傳統的 HSM 是物理裝置;類似的好處可以透過基於雲的解決方案(如 Microsoft Azure 的 Key Vault)來實現。
有助於實現監管要求並簽署大量文件或程式碼。
能夠提供其他功能,例如唯一的簽名身份,並可以連線到公共 CA。
未來一代金鑰儲存技術
剛剛介紹的主要儲存解決方案有點傳統,並且已經存在了一段時間。金鑰儲存也無法避免物聯網的影響,並且正在建立新的解決方案以符合這一趨勢,就像資訊安全領域的其他所有內容一樣。
隨著越來越多的裝置上線並需要安全通訊和身份驗證,基於 PKI 的解決方案在開發人員和製造商中越來越受歡迎。這導致了對私鑰保護的新要求、技術和考慮因素。我們已經看到了下面列出的兩種趨勢。
TPM(可信平臺模組)
儘管 TPM 本身並不新鮮,但使用它們來保護私鑰正變得越來越普遍。根金鑰可以得到保護,並且應用程式生成的附加金鑰可以儲存(或包裝)在 TPM 中。這對於筆記型電腦、伺服器和物聯網裝置製造商等端點來說是一種非常有用的身份驗證技術,因為沒有 TPM 應用程式金鑰是不可用的。儘管 TPM 已經在許多筆記型電腦上成為標準,但我們還沒有看到它們在企業市場中得到廣泛使用。但是,它們在物聯網中被廣泛用作硬體信任根,以確保裝置身份的安全。
PUF(物理不可克隆函式)
稱為物理不可克隆函式 (PUF) 的技術是金鑰保護的正規化轉變。金鑰不會儲存在儲存中,在那裡它們可能會受到物理攻擊,而是從晶片 SRAM 記憶體的特定物理特性生成,並且僅在裝置通電時存在。也就是說,私鑰可以根據需要重複建立(在裝置使用期間),而不是安全地儲存。由於它們利用了矽位模式中的自然隨機性和基於 SRAM 的 PUF,因此可以保證它們是唯一的。
與可信執行環境 (TEE) 相結合時,PUF 技術為市場對經濟高效且易於實施的超安全金鑰保護的需求提供了有吸引力的解決方案。與 PKI 相結合時,PUF 提供了完整的身份解決方案。
金鑰洩露:會發生什麼?
如果金鑰遭到駭客攻擊(即丟失、被盜或損壞),任何金鑰保護的資訊都可能被洩露。這可能導致非法金融交易或機密或私人資訊以及其他敏感或有價值資料的洩露。因此,這會對組織的聲譽產生負面影響,導致處罰,並最終降低公司的價值或可能迫使其破產。因此,金鑰需要像其旨在保護的物件一樣謹慎處理。
必須快速撤銷和替換受損金鑰,並進行調查以確定造成的損害嚴重程度和導致洩露的系統,以防止再次發生此類事件。