浅谈商用密码应用安全性评估中的秘钥管理

已于 2023-02-10 10:06:32 修改
阅读量557 收藏 1
点赞数
分类专栏: 密评 文章标签: 网络 安全
于 2023-02-10 09:28:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43556534/article/details/128953585
版权 
  对于一份商用密码应用安全性方案,初看者都可以掌握它的写作架构和思路,因为方案都有既定的模板。但是笔者唯独对秘钥管理这部分的内容看不懂,一方面觉得这部分内容突兀(独立于其他的测评层面),一方面可能是对秘钥掌握不足,才导致有些迷惑。
  通过翻阅书籍和资料,算是对秘钥管理有了一个浅层的认识。
  在GB/T39786-2021中,是这样对密钥和密钥进行定义的:
  ——密钥:控制密码算法运算的关键信息或参数。
  ——密钥管理:根据安全策略,对密钥的产生、分发、存储、使用、更新、归档、撤销
  、备份、恢复和销毁等密钥全生命周期的管理。
  还是没怎么懂。
  首先在39786中,密钥管理放在了附录B中,但是不代表它不需要测评,而是密钥管理不归属于测评的任何一个层面,需要独立的分析密钥的安全性。

1883年,荷兰有一个叫奥古斯特.科克霍夫的语言学家,在《军事科学报》的一篇文章中对密钥进行了权威性的论述:一个密码系统的安全性不在于对加密算法进行保护,而仅仅在于对密钥的保密。这在后来被称为科克霍夫原则。
因此,密钥的重要性不言而喻。在密评过程中,通过对密钥的全生命周期的安全性管理,才能保证密钥(非公钥)不被非法获取。以39786中规定的密钥的全生命周期为例,共包括八个环节,分别是:密钥生成-密钥存储-密钥分发-密钥使用-密钥更新-备份恢复-密钥归档和密钥销毁。下面继续以三级系统为例来说,各个环节的管理内容和要点。
(1)密钥生成
生成使用的随机数应该符合GB/T0005-2012标准,从符合GB/T37092-2018标准的密码产品中产生密钥。首先,密码应在符合标准的密码模块中产生并保存,再者&#

最低0.47元/天 解锁文章
满意请按1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
密钥安全管理办法 密钥分发管理
03-06
密钥管理是设计安全密码系统所必须考虑的重要问题,数据加密、验证和签名等需要管理大量的密钥,这些密钥经加密后以密文形式发送给合法用户。本办法参考国际组织有关密钥管理的知识、经验和相关标准编写。在结构上分为概述、密钥生命周期安全管理、设备安全管理管理规定和辅导检查等章节,提出密钥生命周期各环节的详细操作流程和具体做法。
商用密码应用安全性评估》第一章密码基础知识1.5密钥管理
qq_40442137的博客
03-03 2646
商用密码应用安全性评估》第一章密码基础知识1.5密钥管理
密码应用安全性评估实施要点之三密钥管理要求与实现要点
Lapedius的博客
04-23 2917
密码应用安全性评估实施要点--密钥管理要求与实现要点1、 不同密码应用层面的典型密钥1) 物理和环境安全层面的典型密钥2) 网络和通信层面的典型密钥3) 设备和计算层面的典型密钥4) 应用和数据安全层面的典型密钥(1) 真实性保护密钥。(2) 保密性保护密钥。(3) 完整性保护密钥。(4) 用于不可否认功能的密钥。2、 密钥生成3、 密钥存储4、 密钥分发5、 密钥导入与导出6、 密钥使用7、 密钥备份与恢复8、 密钥归档9、 密钥销毁 密钥管理密码应用的基础支撑。根据《信息系统密码应用基本要求》所定义
信息安全密钥管理
努力是为了站在万人之中,成为别人的光
01-18 9867
信息安全密钥管理密钥分级初级密钥二级密钥密钥具有保密性和认证的分配方法公钥密码体制的密钥管理公钥管理机构分配公钥公钥证书如何使用证书 密钥分级 密钥分为初级密钥、二级密钥和主密钥。 初级密钥 用于加解密数据的密钥 初级通信密钥:一个密钥只使用一次,生存周期很短 初级文件密钥:与其所保护的文件有一样长的生存周期 初级密钥不能以明文形式保存 二级密钥 用于保护初级密钥 不能以明文形式保存 主密钥 密钥管理方案的最高级密钥,用于对二级密钥进行保护。主密钥的生存周期很长 具有保密性和认证的分配方法
商用密码应用安全性评估----技术层面实现
qq_41619455的博客
08-14 2753
商用密码安全性评估
商用密码应用安全性评估管理办法
02-18
商用密码应用安全性评估管理办法
商用密码应用安全性评估管理办法.pdf
04-16
为规范重要领域网络与信息系统商用密码应用安全性评估工作,发挥密码在保障网络安全的核心支撑作用,根据《华人民共和国网络安全法》《商用密码管理条例》以及国家关于网络安全等级保护和重要领域密码应用的有关...
商用密码应用安全性评估量化评估规则.pdf
03-23
商用密码应用安全性评估量化评估规则
商用密码应用安全性评估FAQ
08-17
该FAQ涵盖了商用密码应用安全性评估的各个方面,包括信息系统密码应用基本要求的等级、应、宜、可测评指标把握、物理和环境安全层面的测评对象识别和确定、网络和通信安全层面的测评对象识别和确定、设备和计算安全...
密码学系列之九:密钥管理
聚集机器学习、信息安全
11-21 9204
密钥管理密码系统不可缺少的重要组成部分,也是密码系统最重要、最困难的部分。它负责密钥从初始产生到最终销毁的整个过程,包括密钥的生成、存储、分发与协商使用、备份与恢复、更新、撤销和销毁等内容。密钥管理相当复杂,既有技术问题,也有管理策略问题。本文从理论和技术角度讨论密钥管理的若干重要问题,主要包括:密钥的生命周期、分发、协商、托管和秘密共享等内容。
GM_T0028-2014密码模块安全技术要求
09-25
GM_T0028-2014密码模块安全技术要求,国密认证时除通用类之外,一般都会被归并到这个检测类型。 在信息技术密码技术的使用需求越来越多,比如数据需要密码机制进行保护,已防止泄露和篡改,本标准包括了4个安全等级,依次增强,以满足不同应用环境的安全需求。 安全要求包括了设计、实现、运行、和处置安全区域,设计到密码模块的规格、接口、角色、服务等安全因素。
密钥管理概述
Tai_Yang_Yue的博客
08-01 4674
密钥管理概述 密钥管理包含:密钥生成、装入、存储、备份、分配、更新、吊销、销毁等内容,分配与存储是最棘手的问题。 密钥生成: 集密钥生成:由可信的密钥管理心 分布式密钥生成:网络的多个节点协商 密钥分配: 集式:由可信的密钥管理心给用户分发(存在单点失效问题) 分布式:多个服务器通过协商来分发 密钥种类: 主密钥:对密钥加密密钥进行加密的密钥,通常通过自然界的真随机现象提取或由伪随机数生成器来生成 密钥加密密钥:在传输会话密钥时,用来加密会话密钥密钥,也称次主密钥或二级密钥
软考信息安全工程师备考笔记
weixin_43610673的博客
12-15 2062
可控性、可审查性。
密评是什么?密评评分具体是怎么打分的?安当加密
www.andang.cn
04-28 1万+
什么是密评? “密评”全称“密码应用安全性评估”,是指在采用密码技术、产品和服务集成建设的网络和信息系统,对其密码应用的合规性、正确性和有效性进行评估。 为什么要做密评? 国家法律法规的强制要求。开展密评,是国家相关法律法规提出的明确要求,是网络安全运营者的法定责任和义务。 《华人民共和国密码法》第二十七条:法律、行政法规和国家有关规定要求使用密码进行保护的关键信息基础设施,其运营者应当使用密码进行保护,自行或者委托密码检测机构开展密码应用安全性评估。 《商用密码应用安全性评估管理办法(试
商用密码应用安全性评估》第四章 密码应用安全性评估实施要点-小结
热门推荐
Hyacinth12138的博客
07-24 2万+
密码应用安全性评估包括:信息系统规划阶段对密码应用方案的评审/评估、建设完成后对信息系统开展的实际测评 总体要求、物理和环境安全网络与通信安全、设备与计算安全应用与数据安全密钥管理安全管理 密码应用方案设计应遵循:总体性原则、科学性原则、完备性原则、可行性原则 在设计密码应用解决方案时,应注意两大方面内容: 信息系统支撑平台的密码应用 信息系统业务应用密码应用 密码应用解决方案主要包括:系统现状分析、安全风险及控制需求、密码应用需求、总体方案设计、密码技术方案设计、管理体系设计与运维体系
信息安全等级测评内容
huge的博客
03-11 3264
商用密码应用安全性评估具体内容 1、物理与环境测评内容 (1)物理位置的选择 (2)物理访问控制 (3)防盗窃和防破坏 (4)防雷击 (5)防火 (6)防水防潮 (7)防静电 (8)温湿度控制 (9)电力供应 (10)电磁防护 2、网络与通信测评内容 2.1 网络全局 (1)结构安全 a、应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要; ...
密码密钥管理
Gzb1128的栖息地
12-28 1173
密码密钥管理
计算机密码最满足安全的要求,GB∕T 37092-2018 信息安全技术密码模块安全要求(高清版).pdf 全文免费...
weixin_39699313的博客
07-22 2426
2017年发布的国家标准,现已实施,及早知悉及时应对。ICS35.040L80华人 民共和 国国家标准/ —GBT37092 2018信息安全技术 密码模块安全要求—Informationsecurittechnolo Securitreuirementsforcr torahicmodulesy gy y q ypgp20...
密钥管理
三木君的博客
05-15 1759
密钥管理既是对于密钥进行管理的行为,如,加密,解密,破解等。 密钥: 当前密钥管理,至少要两层。严格一些需要三层。 密钥顶层工作密钥,实际应用到。 二层密钥用来加密工作密钥。 根密钥不需要加密,是负责加密上层密钥的。生成方式3DES方式。 密钥生命周日: 生成--分发--使用--更新--存储--销毁。 每一个部分有漏洞,都会影响到整个系统。 生成: 需要安全的随机函数。比如java.security.secureRandom。 分发:分发过程,需要注意通道的安全,使用加密通..
商用密码应用安全性评估管理办法pdf
最新发布
07-06
### 回答1: 商用密码应用安全性评估管理办法pdf是指一种用于评估管理商用密码应用安全性的规范性文件,旨在提供指导和规范,以确保商用密码应用安全性和可靠性。 商用密码应用是指用于保护商业信息、数据和通信的密码系统或密码算法。由于商业信息的敏感性和重要性,商用密码应用安全性至关重要。因此,商用密码应用安全性评估管理办法pdf提供了一套全面的评估管理措施,以确保商用密码应用安全性商用密码应用安全性评估管理办法pdf通常包括以下内容: 1. 评估方法和标准:商用密码应用安全性评估需要依据一定的方法和标准进行。该管理办法将提供详细的评估方法和标准,以确保评估的准确性和可靠性。 2. 安全性要求:商用密码应用需要满足一定的安全性要求,以确保信息和通信的保密性、完整性和可用性。该管理办法将规定了这些安全性要求,并提供具体的实施指南。 3. 评估流程:商用密码应用安全性评估需要进行一系列的步骤和流程。该管理办法将详细描述评估的流程,并提供了相应的评估工具和方法。 4. 结果和报告:商用密码应用安全性评估的结果需要进行记录和报告。该管理办法将规定了结果的记录和报告要求,以及相应的报告模板和格式。 商用密码应用安全性评估管理办法pdf的实施可以提高商用密码应用安全性和可靠性,保护商业信息和数据的安全。通过规范和统一的评估管理,可以确保商用密码应用符合安全性要求,并提升商业信息的保护能力。 ### 回答2: 商用密码应用安全性评估管理办法(PDF)是一份指导商用密码应用安全评估管理规范和方法的文件。该文件旨在保障商用密码应用安全性,确保密码信息的机密性、完整性和可用性。 商用密码应用安全性评估管理办法的内容主要包括以下几个方面: 首先,该办法明确了商用密码应用安全评估的目的和基本原则。其,目的是为了检测商用密码应用安全性,发现存在的潜在漏洞和风险;基本原则包括风险管理、合规性和可验证性原则,以确保安全性评估的有效性和可靠性。 其次,该办法规定了商用密码应用安全性评估的程序和方法。包括需求分析、安全性设计、系统实施、安全性测试和安全性认证等步骤,确保评估全面、系统和有条理。 另外,该办法还明确了商用密码应用安全性评估的关键要素。其包括密码强度、用户认证、访问控制、密码备份与恢复、密码管理、审计与日志等多个方面,确保评估细致入微、全面考虑。 最后,该办法还制定了商用密码应用安全性评估的报告和证书要求。评估结果需以报告形式提交,详细说明评估过程、检测到的漏洞和风险以及相应的解决方案。评估合格的商用密码应用将获得相应的安全性认证证书,证明其满足安全性要求。 综上所述,商用密码应用安全性评估管理办法(PDF)是一份指导商用密码应用安全评估的重要文件,为商用密码应用安全性提供了规范和方法,确保密码信息得到有效保护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

满意请按1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值