Boríték-titkosítás aszimmetrikus kulcsokkal vs KMS
On február 18, 2021 by adminA boríték-titkosításban egy szimmetrikus titkos kulcsot használnak az adatok aláírásához, majd egy másik kulcsot használnak a titok titkosításához az előállításhoz egy titkosított titkos kulcs. A titkosított üzeneteket a titkosított titkos kulccsal csomagolják, és elküldik az ügyfélnek / fogyasztónak, amely ezt követően visszafejtette a titkosított titkos kulcsot, hogy megkapja a titkos kulcsot, amelyet viszont az üzenet visszafejtésére használnak. megvalósításához:
- Aszimmetrikus titkosítás: A gyártó a titkos kulcs (oka) t a fogyasztók nyilvános kulcsával titkosítja. A fogyasztó egy titkos kulcsot használ a titkosított titok visszafejtésére.
- KMS (például AWS KMS): A titkos kulcsot a KMS titkosítja, és a titkos kulcshoz hozzáférést igénylő ügyfélnek meg kell kérnie a KMS-t, hogy visszafejteni
A KMS megközelítés előnye, hogy a kulcskezelés központosított, és az ügyfél engedélyeinek visszavonása megtörténhet az ügyfél eltávolításával a KMS-től és a kulcs elforgatásával.
Van-e jó ok arra, hogy aszimmetrikus kulcsokat használjon a KMS helyett?
Megjegyzések
- Azon kívül, hogy a KMS külön szolgáltatás az elosztott környezet fenntartásának, kezelésének és egyetlen hibaponttá válásának? " titkosítás " kérdés vagy " logisztika " kérdés?
Válasz
Ha a KMS tartja a kulcsot, akkor olvashatnak az üzenet. Ha megsérti a KMS-t, akkor a támadó elolvashatja az összes kulcsot, amelyet elloptak. Azok az aszimmetrikus kulcsok, amelyekben a magánkulcsot csak a címzett birtokolja, csak a címzett számára engedik elolvasni az üzenetet, így nem kell aggódni a KMS-rendszerek kukucskálása miatt. Ha a magánkulcsot ellopják, akkor csak annak a felhasználónak küldött e-mailek számára, aki ezt a kulcsot használta , nem mindenki a rendszerben.
Válasz
Minden arról szól, hogy hol tárolja a titkot, és ki fér hozzá .
Először pontosítás: Összezavarodott. A KMS nem használ aszimmetrikus titkosítást (más néven Public-Key titkosítást). Saját borítékú titkosítást használ a boríték titkosításának engedélyezéséhez. Két különböző dologról van szó.
Az aszimmetrikus titkosítás során a titkosítás előállítójának soha nem kell hozzáférnie a titokhoz, csak a nyilvános kulcsra van szükségük. A termelő a nyilvános kulcsot használja a titkosításhoz, a fogyasztó a megfelelő titkos kulcsot a visszafejtéshez. A kulcsforgatás megkönnyítése érdekében a gyártó néha hozzáfűzi a titkosításhoz használt nyilvános kulcsot, hogy a fogyasztó tudja, milyen titkos kulcsot használjon a visszafejtéshez. Nem számít, mennyi adat van titkosítva, a privát kulcsra nincsenek utalások. A visszafejtés algoritmusa számításigényesebb, mint a magánkulcs titkosítása.
A borítéktitkosításban a gyártónak és a fogyasztónak azonosnak kell lennie (vagy mindkettőnek hozzáférnie kell a fő kulcshoz). A főkulcs segítségével létrehozhat egy másodlagos kulcsot, amelyet úgy hívnak, hogy adatkulcs. Ezután titkosítja az adatkulcsot a főkulccsal, magát az adatot pedig az kulcs segítségével, majd hozzáfűzi a titkosított kulcsot a titkosított adatokhoz. A visszafejtéskor a fő kulcsot használja a csatolt adatkulcs visszafejtéséhez, majd a visszafejtett adatkulcs segítségével az adatok visszafejtéséhez.
Ennek előnye, hogy költséghatékonyan tárolhatja a fő kulcsot a cél- beépített hardver biztonsági modult, és soha ne tegye ki másnak anélkül, hogy az összes titkosított adatot át kellene adnia a HSM-be. Akár a HSM belsejében is előállíthatja a kulcsot, és nem veheti ki, hogy ne legyen esély arra, hogy valaha bármi külsőnek legyen kitéve. A KMS felhőalapú HSM-t biztosít Önnek, és azt fizikai HSM-ek támogatják az Amazon-on.
Ha nem törődik azzal, hogy a fő kulcsot egy HSM-ben tartsa, akkor ugyanezt a titkosítást megteheti a saját kulcsával is, amelyet úgy próbál meg biztonságban tartani, hogy egy ugrószervert vagy ilyet tesz be. hasonlóan. Amíg nem titkosít 250 millió TB-nál többet, kihagyhatja a borítékot.
Ha valamilyen példakódot keres, felkaphatja egyszerű AES-titkosítás vagy boríték titkosítás, érdemes ellenőrizni a nyílt forráskódú projektünket. Megvan a megvalósítás mindegyikhez, amelyet kihasználhat …
Vélemény, hozzászólás?