什么是密钥管理？

加密技术是网络安全的基础，可以有效保护消费者隐私和敏感数据免受攻击。当加密数据被窃取时，原本可能是严重的泄密事件就只是一个单纯的事件：需要继续防范，但影响极小，甚至可能不需要公开披露。

OpenText™ Voltage™ SecureData使用加密算法和密钥，正确管理加密密钥对有效使用加密技术至关重要：密钥管理不善会使强大的算法失去作用。美国国家标准与技术研究院 (NIST) 在特别出版物 80057（第 1 部分，第 5 次修订）中发布了 "密钥管理建议"。

密钥管理为何重要？

现代的强加密技术从未被破解过，但却经常被绕过。加密程度如何并不重要：如果密钥没有得到很好的保护，黑客只需花很少的时间就能获得皇冠上的宝石，从而对业务和声誉造成重大影响。密钥管理 与实施强大的加密技术同样重要，而且往往是企业数据安全和隐私计划的致命弱点。

---

如何生成加密密钥？

创建加密密钥有两种方法：生成随机密钥或计算随机密钥。很容易理解为什么随机密钥是好的。没有任何计算技巧能帮助攻击者猜出一个随机值，比猜出所有可能的值直到猜对更好。但也有可能以与传统方法同样安全的方式动态生成密钥：使用一次性生成的随机种子材料，然后根据需要将密钥 "名称 "或 "标识符 "与种子材料相结合，生成密钥。

---

什么是派生密钥？

计算密钥最安全的方法是使用安全的密钥派生函数 （KDF），其输出是派生密钥。派生密钥与随机密钥一样安全，但它们有一些显著的实际优势。特别是，购买、使用和维护使用衍生密钥的系统要便宜得多。

---

如何存储加密密钥？

传统的密钥管理需要一系列复杂的工作：生成密钥，标记为 "尚未使用 "并备份；使其可用；分配名称；标记为 "正在使用 "并停用，使其不再可用；以及更多工作，包括复制、同步、归档和权限管理。这些工作非常繁琐，使用许多加密密钥的安装程序很快就会发现，密钥管理的工作量甚至超过了实际加密的工作量。

---

哪种加密密钥生成模式更好？

随机密钥生成方法的缺点是，在使用新密钥加密数据之前，必须备份每一个新密钥。否则，如果密钥存储失败，受保护的数据将无法解密。

相比之下，派生密钥具有一些显著的实用优势。由于密钥很少发生变化，因此不需要经常备份，也不需要整个创建-激活-命名-激活序列（授权除外）。多个密钥服务器可以从一个备份中创建，并保证从相同的输入中获得相同的密钥，因为原始种子材料被重复使用，而不需要任何实时复制或同步。此外，还不存在丢失密钥的风险：如果应用程序丢失了派生密钥，可以像最初生成密钥一样轻松地重新派生。

---

如何提供加密密钥？

无论采用哪种密钥管理解决方案，确保密钥不被用户误操作都是一项重大挑战。让用户和开发人员脱离密钥管理至关重要。应用团队不应参与加密密钥的存储、保护或轮换，也不应允许他们实际拥有密钥。相反，应该向他们提供密钥标识符和抽象层接口，以便自动生成、检索、缓存、保护和刷新密钥。

---

Micro Focus 如何帮助进行密钥管理？

Voltage OpenText™ 的 SecureData 实现了无状态密钥管理，为企业提供了前所未有的规模和简化的密钥管理。有了 SecureData，密钥管理也被抽象化了，这意味着开发人员永远不会持有密钥，因此也不需要存储密钥。取而代之的是，他们存储的是Voltage 身份（密钥名称），可以是有意义的字符串，如PAN、SSN、SensitiveData 等。开发人员可以将这些身份信息存储在属性文件中，无需任何保护，因为它们并不敏感。SecureData 客户端软件负责密钥管理流程--密钥检索、安全、缓存等。通过基于 REST 的远程操作，密钥永远不会暴露在 SecureData 服务器之外。SecureData可在SecureData服务器或HSM内生成密钥。

加密很难，密钥管理更难；但有办法让密钥管理变得更容易，同时完全符合最严格的标准。Voltage SecureData让密钥管理变得简单，帮助保护数据安全计划的这一关键方面。