Kirjekuoren salaus epäsymmetrisillä avaimilla vs KMS
On helmikuu 18, 2021 by adminKirjekuoren salauksessa symmetristä salaista avainta käytetään tietojen allekirjoittamiseen ja sitten toista avainta salaamaan salauksen tuottamaan salattu salainen avain. Salatut viestit pakataan salattuun salaisiin avaimiin ja lähetetään asiakkaalle / kuluttajalle, joka purkaa sitten salatun salaisen avaimen saadakseen salaisen avaimen, jota puolestaan käytetään viestin salauksen purkamiseen
On olemassa kaksi tapaa sen toteuttamiseksi:
- Epäsymmetrinen salaus: Tuottaja salaa salaiset avaimet kuluttajien julkisella avaimella. Kuluttaja purkaa salatun salaisuuden salaamalla yksityisen avaimen.
- KMS (kuten AWS KMS): KMS salaa salaisen avaimen, ja asiakkaan, joka tarvitsee pääsyn salaiseen avaimeen, on pyydettävä KMS: tä purkaa se
KMS-lähestymistavan etuna on, että avainten hallinta on keskitetty, ja asiakkaan käyttöoikeuksien kumoaminen voidaan tehdä poistamalla asiakas KMS: stä ja kiertämällä avainta.
Onko olemassa hyviä syitä asymmetristen avainten käyttämiseen KMS: n sijaan?
Kommentit
- Sen lisäksi, että KMS on erillinen palvelu, jolla ylläpidetään, hallitaan ja siitä tulee yksi vikapiste hajautetussa ympäristössä? Onko kysymyksesi " -salaus " tai " logistiikka " kysymys?
vastaus
Jos KMS: llä on avain, he voivat lukea viesti. Jos KMS: ää rikotaan, hyökkääjä voi lukea kaikki viestit, jotka liittyvät kaikkiin varastamiinsa avaimiin. Epäsymmetriset avaimet, joissa yksityinen avain on vain vastaanottajan hallussa, antavat vastaanottajalle vain mahdollisuuden lukea viesti, joten KMS-järjestelmien kurkistamisesta ei ole huolta. Jos yksityinen avain varastetaan, se on tarkoitettu vain kyseistä avainta käyttäneelle käyttäjälle lähetettyihin sähköposteihin. , eivät kaikki järjestelmän jäsenet.
Vastaa
Kaikki koskee sitä, mihin säilytät salaisuuden ja kenellä on pääsy siihen .
Ensin selvitys: Olet hämmentynyt. KMS ei käytä epäsymmetristä salausta (kutsutaan myös julkisen avaimen salaukseksi). Se käyttää yksityisen avaimen salausta kirjekuoren salauksen ottamiseen käyttöön. Ne ovat kahta erilaista asiaa.
Epäsymmetrisessä salauksessa salauksen tuottajan ei tarvitse koskaan käyttää salaisuutta, vaan tarvitsee vain julkinen avain. Tuottaja käyttää salaukseen julkista avainta, salauksen purkamiseen kuluttaja käyttää vastaavaa yksityistä avainta. Avainkierron helpottamiseksi tuottaja liittää toisinaan salaukseen käytetyn julkisen avaimen, jotta kuluttaja tietää, mitä yksityistä avainta salauksen purkamiseen käytetään. Riippumatta siitä, kuinka paljon tietoa on salattu, yksityisessä avaimessa ei ole vihjeitä. Salauksen purkamisen algoritmi on yleensä laskentatehokkaampi kuin yksityisen avaimen salaus.
Kirjekuoren salauksessa tuottajan ja kuluttajan on oltava samat (tai molemmilla on pääsy pääavaimeen). Voit luoda pääavaimen avulla toissijaisen avaimen, jota kutsutaan data-avaimeksi. Salataan sitten avain pääavaimella ja itse tiedot käyttämällä avainta ja liität sitten salatun avain salattuihin tietoihin. Kun purat salauksen, purat liitetiedon avaimen pääavaimella ja pura sitten tietojen purkaminen salaamattomalla avaimella.
Tämän etuna on, että voit tallentaa pääavaimen kustannustehokkaasti tarkoitukseen- rakennettu laitteiston suojausmoduuli ja älä koskaan altista sitä muulle ilman, että sinun tarvitsee siirtää kaikkia salaamiasi tietoja HSM: ään. Voit jopa luoda avaimen HSM: n sisällä äläkä ota sitä pois, jotta ei ole mitään mahdollisuutta, että se olisi koskaan altistunut millekään ulkoisesti. KMS tarjoaa sinulle pilvipohjaisen HSM: n ja sen tukee Amazonin fyysiset HSM: t.
Jos et välitä pääavaimesi pitämisestä HSM: ssä, voit tehdä samanlaisen salauksen omalla avaimellasi, jonka yrität turvata asettamalla hyppypalvelimen tai jotain muuta. Niin kauan kuin et salaa yli 250 miljoonaa teratavua, voit ohittaa kirjekuoren.
Jos etsit jotain esimerkkikoodia, voit tarttua siihen joko yksinkertaisen AES-salauksen tai kirjekuoren salaus, kannattaa ehkä tarkistaa avoimen lähdekoodin projektimme. Se sisältää toteutuksen jokaiselle, jota voit hyödyntää …
Vastaa