@ner
2年前 提问
1个回答

对于密钥加密密钥应具备哪些要求

趣能一姐
2年前

对于密钥加密密钥应具备如下要求:

  • KEK加密存储在KMS系统中,不随密文数据一起存储,通常也不应存储在应用自身。

  • 针对用户KEK,可建立专用的用户KMS,或存入用户信息表并将用户信息表作为一个应用(这个应用的KEK在KMS中加密存储)。

  • 在安全性要求更高的情况下,可使用多级KMS来加强密钥保护。

  • 每个应用或每个用户应该使用不同的密钥加密密钥。

  • 密钥加密密钥加密存储在密钥管理系统系统中,不随密文数据一起存储,通常也不应存储在应用自身。

  • 针对用户密钥加密密钥,可建立专用的用户密钥管理系统,或存入用户信息表并将用户信息表作为一个应用(这个应用的密钥加密密钥在密钥管理系统中加密存储)。

  • 在安全性要求更高的情况下,可使用多级密钥管理系统来加强密钥保护。

  • 在没有密钥管理系统的时候,在应用系统代码中固定密钥加密密钥(不推荐)。

  • 不会重复出现,已经产生的密钥不会再次出现。不能重复使用,每个密钥只能使用一次便立即失效。

  • 在没有KMS的时候,在应用系统代码中固定KEK。

  • 每个应用或每个用户应该使用不同的KEK。