浅谈商用密码应用安全性评估中的秘钥管理

已于 2023-02-10 10:06:32 修改
阅读量721 收藏 1
点赞数
分类专栏: 密评 文章标签: 网络 安全
于 2023-02-10 09:28:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43556534/article/details/128953585
版权
本文深入探讨了商用密码应用中秘钥管理的重要性,遵循科克霍夫原则,强调密钥全生命周期的安全管理,包括密钥生成、存储、分发、使用、更新、备份恢复、归档和销毁等环节,确保密钥的安全性,以保障整个密评体系的安全有效。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  对于一份商用密码应用安全性方案,初看者都可以掌握它的写作架构和思路,因为方案都有既定的模板。但是笔者唯独对秘钥管理这部分的内容看不懂,一方面觉得这部分内容突兀(独立于其他的测评层面),一方面可能是对秘钥掌握不足,才导致有些迷惑。
  通过翻阅书籍和资料,算是对秘钥管理有了一个浅层的认识。
  在GB/T39786-2021中,是这样对密钥和密钥进行定义的:
  ——密钥:控制密码算法运算的关键信息或参数。
  ——密钥管理:根据安全策略,对密钥的产生、分发、存储、使用、更新、归档、撤销
  、备份、恢复和销毁等密钥全生命周期的管理。
  还是没怎么懂。
  首先在39786中,密钥管理放在了附录B中,但是不代表它不需要测评,而是密钥管理不归属于测评的任何一个层面,需要独立的分析密钥的安全性。

1883年,荷兰有一个叫奥古斯特.科克霍夫的语言学家,在《军事科学报》的一篇文章中对密钥进行了权威性的论述:一个密码系统的安全性不在于对加密算法进行保护,而仅仅在于对密钥的保密。这在后来被称为科克霍夫原则。
因此,密钥的重要性不言而喻。在密评过程中,通过对密钥的全生命周期的安全性管理,才能保证密钥(非公钥)不被非法获取。以39786中规定的密钥的全生命周期为例,共包括八个环节,分别是:密钥生成-密钥存储-密钥分发-密钥使用-密钥更新-备份恢复-密钥归档和密钥销毁。下面继续以三级系统为例来说,各个环节的管理内容和要点。
(1)密钥生成
生成使用的随机数应该符合GB/T0005-2012标准,从符合GB/T37092-2018标准的密码产品中产生密钥。首先,密码应在符合标准的密码模块中产生并保存,再者&#

最低0.47元/天 解锁文章
商用密码应用安全性评估》第一章密码基础知识1.5密钥管理
qq_40442137的博客
03-03 3356
商用密码应用安全性评估》第一章密码基础知识1.5密钥管理
商用密码应用安全性评估要点笔记(密评管理测评要求、测评过程指南)
xnxqwzy的博客
03-16 1933
4.5 密评管理测评要求词条内容—|—层面管理制度(包括6个测评单元)单元-1具备密码应用安全管理制度(1-4级)测评指标:具备密码应用安全管理制度,包括人员管理密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度测评对象:安全管理制度类文档测评实施:核查各项安全管理制度文档是否包含人员管理密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度结果判定:同上单元-2密钥管理规则(1-4级)单元-3建立操作规程(2-4级)单元-4定期修订阿暖管理制度(3-4级)
密码应用安全性评估实施要点之三密钥管理要求与实现要点
Lapedius的博客
04-23 3393
密码应用安全性评估实施要点--密钥管理要求与实现要点1、 不同密码应用层面中的典型密钥1) 物理环境安全层面的典型密钥2) 网络通信层面的典型密钥3) 设备计算层面的典型密钥4) 应用数据安全层面的典型密钥(1) 真实性保护密钥。(2) 保密性保护密钥。(3) 完整性保护密钥。(4) 用于不可否认功能的密钥。2、 密钥生成3、 密钥存储4、 密钥分发5、 密钥导入与导出6、 密钥使用7、 密钥备份与恢复8、 密钥归档9、 密钥销毁 密钥管理密码应用的基础支撑。根据《信息系统密码应用基本要求》所定义
等保测评中的密码技术与密钥管理
最新发布
A526847的博客
08-06 803
在信息安全领域,等保测评(信息安全等级保护测评)是一项重要的安全评估活动,旨在评估信息系统的安全性,并根据评估结果给予相应的安全等级。这一过程中,密码技术与密钥管理发挥着至关重要的作用。本文将详细探讨等保测评中的密码技术应用密钥管理的重要性与实现方法。
密钥安全管理办法 密钥分发管理
03-06
密钥管理是设计安全密码系统所必须考虑的重要问题,数据加密、验证签名等需要管理大量的密钥,这些密钥经加密后以密文形式发送给合法用户。本办法参考国际组织有关密钥管理的知识、经验相关标准编写。在结构上分为概述、密钥生命周期安全管理、设备安全管理管理规定辅导检查等章节,提出密钥生命周期中各环节的详细操作流程具体做法。
NISP
极光时流
07-21 3045
NISP七月份练习01 文章目录NISP七月份练习01NISP七月份练习02NISP七月份练习03NISP七月份练习04NISP七月份练习05NISP七月份练习06NISP七月份练习07NISP七月份练习08NISP七月份练习09NISP七月份练习10NISP七月份练习11NISP七月份练习12NISP七月份练习13NISP七月份练习14NISP七月份练习15NISP七月份练习16NISP七月份练习17NISP七月份练习18 1我国的( )主要规定了关于数据电文、电子签名与认证及相关的法律责任 A.《中华人
《后端架构师技术图谱》
weixin_70730532的博客
06-15 1014
(Toc generated by simple-php-github-toc )《java队列——queue详细分析》《LinkedList、ConcurrentLinkedQueue、LinkedBlockingQueue对比分析》每个节点最多有两个叶子节点。左右两个子树的高度差的绝对值不超过1,并且左右两个子树都是一棵平衡二叉树。二叉查找树(Binary Search Tree),也称有序二叉树(ordered binary tree),排序二叉树(sorted binary tree)。MySQL是
信息安全密钥管理
努力是为了站在万人之中,成为别人的光
01-18 1万+
信息安全密钥管理密钥分级初级密钥二级密钥密钥具有保密性认证的分配方法公钥密码体制的密钥管理公钥管理机构分配公钥公钥证书如何使用证书 密钥分级 密钥分为初级密钥、二级密钥密钥。 初级密钥 用于加解密数据的密钥 初级通信密钥:一个密钥使用一次,生存周期很短 初级文件密钥:与其所保护的文件有一样长的生存周期 初级密钥不能以明文形式保存 二级密钥 用于保护初级密钥 不能以明文形式保存 主密钥 密钥管理方案中的最高级密钥,用于对二级密钥进行保护。主密钥的生存周期很长 具有保密性认证的分配方法
商用密码应用安全性评估----技术层面实现
qq_41619455的博客
08-14 3005
商用密码安全性评估
密码学系列之九:密钥管理
聚集机器学习、信息安全
11-21 1万+
密钥管理密码系统不可缺少的重要组成部分,也是密码系统中最重要、最困难的部分。它负责密钥从初始产生到最终销毁的整个过程,包括密钥生成存储分发与协商使用备份与恢复、更新、撤销销毁等内容。密钥管理相当复杂,既有技术问题,也有管理策略问题。本文从理论技术角度讨论密钥管理中的若干重要问题,主要包括:密钥的生命周期、分发、协商、托管秘密共享等内容。
密钥管理概述
Tai_Yang_Yue的博客
08-01 7880
密钥管理概述 密钥管理包含:密钥生成、装入、存储备份、分配、更新、吊销、销毁等内容,分配与存储是最棘手的问题。 密钥生成: 集中式密钥生成:由可信的密钥管理中心 分布式密钥生成网络中的多个节点协商 密钥分配: 集中式:由可信的密钥管理中心给用户分发(存在单点失效问题) 分布式:多个服务器通过协商来分发 密钥种类: 主密钥:对密钥加密密钥进行加密的密钥,通常通过自然界中的真随机现象提取或由伪随机数生成器来生成 密钥加密密钥:在传输会话密钥时,用来加密会话密钥密钥,也称次主密钥或二级密钥
软考信息安全工程师备考笔记
weixin_43610673的博客
12-15 2437
可控性、可审查性。
密评是什么?密评评分具体是怎么打分的?安当加密
www.andang.cn
04-28 1万+
什么是密评? “密评”全称“密码应用安全性评估”,是指在采用密码技术、产品服务集成建设的网络信息系统中,对其密码应用的合规性、正确性有效性进行评估。 为什么要做密评? 国家法律法规的强制要求。开展密评,是国家相关法律法规提出的明确要求,是网络安全运营者的法定责任义务。 《中华人民共密码法》第二十七条:法律、行政法规国家有关规定要求使用密码进行保护的关键信息基础设施,其运营者应当使用密码进行保护,自行或者委托密码检测机构开展密码应用安全性评估。 《商用密码应用安全性评估管理办法(试
商用密码应用安全性评估》第四章 密码应用安全性评估实施要点-小结
热门推荐
Hyacinth12138的博客
07-24 2万+
密码应用安全性评估包括:信息系统规划阶段对密码应用方案的评审/评估、建设完成后对信息系统开展的实际测评 总体要求、物理环境安全网络与通信安全、设备与计算安全应用与数据安全密钥管理安全管理 密码应用方案设计应遵循:总体性原则、科学性原则、完备性原则、可行性原则 在设计密码应用解决方案时,应注意两大方面内容: 信息系统支撑平台的密码应用 信息系统业务应用密码应用 密码应用解决方案主要包括:系统现状分析、安全风险及控制需求、密码应用需求、总体方案设计、密码技术方案设计、管理体系设计与运维体系
信息安全等级测评内容
huge的博客
03-11 3433
商用密码应用安全性评估具体内容 1、物理与环境测评内容 (1)物理位置的选择 (2)物理访问控制 (3)防盗窃防破坏 (4)防雷击 (5)防火 (6)防水防潮 (7)防静电 (8)温湿度控制 (9)电力供应 (10)电磁防护 2、网络与通信测评内容 2.1 网络全局 (1)结构安全 a、应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要; ...
密码密钥管理
Gzb1128的栖息地
12-28 1485
密码密钥管理
计算机密码最满足安全的要求,GB∕T 37092-2018 信息安全技术密码模块安全要求(高清版).pdf 全文免费...
weixin_39699313的博客
07-22 2850
2017年发布的国家标准,现已实施,及早知悉及时应对。ICS35.040L80中华人 民共 国国家标准/ —GBT37092 2018信息安全技术 密码模块安全要求—Informationsecurittechnolo Securitreuirementsforcr torahicmodulesy gy y q ypgp20...
密钥管理
三木君的博客
05-15 1915
密钥管理既是对于密钥进行管理的行为,如,加密,解密,破解等。 密钥: 当前密钥管理,至少要两层。严格一些需要三层。 密钥顶层工作密钥,实际应用到。 二层密钥用来加密工作密钥。 根密钥不需要加密,是负责加密上层密钥的。生成方式3DES方式。 密钥生命周日: 生成--分发--使用--更新--存储--销毁。 每一个部分有漏洞,都会影响到整个系统。 生成: 需要安全的随机函数。比如java.security.secureRandom。 分发分发过程中,需要注意通道的安全使用加密通..
密钥安全管理
偷懒的加菲
07-17 2727
摘自《大型网站技术架构》( 李智慧) 信息的安全是靠密钥保障的。但在实际中经常看到,有的工程师把密钥直接写在源代码中,稍好一点的卸载配置文件中,线上开发环境配置不同的密钥。总之密钥本身是以明文的方式保存,并且很多人可以接触到,至少在公司内部,密钥不是秘密。 实践中,改善密钥安全性的手段有两种。 方案一 把密钥算法放在一个独立的服务器上,甚至做成一个专用的硬件设施,对外提供加密解密服务,应...
商用密码应用安全性评估试题解析
"商用密码应用安全性评估试题" 这篇文档是一个关于商用密码应用安全性评估的测试题目集合,涉及了密码学的基础知识、法律法规、加密算法、网络安全技术相关标准等多个方面。以下将对这些知识点进行详细解释: 1....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

满意请按1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值