“關鍵材料”一詞的含義
我正在閱讀我的客戶關於安全主題的規範。在這些規範中,術語“關鍵材料”出現了很多次。
我用Google來尋找這個詞的含義。不幸的是,很少有文章解釋它的含義。
key和key material有什麼區別(如果有)?
密鑰材料是“數學”密鑰,而不是關於密鑰的元數據,例如密鑰類型、它在數據庫中的名稱、它的使用策略等。
在密鑰管理的上下文中,特別是在操作加密密鑰的程式介面中,術語密鑰可以表示多種含義。它可以指代密碼計算中使用的實際字節或數字:這是密鑰材料。它還可以引用密鑰儲存數據庫中加密密鑰的名稱(或標籤、標識符、索引……)。它可以指系統中支持“加密”和“解密”等請求的對象,並且可能具有相關元數據,例如密鑰類型(“這是一個 AES 密鑰”)和使用策略(“此密鑰可能僅用於 AES-GCM,僅在星期二且僅由具有 Grand Vizir 權限的使用者使用”)。
在資訊安全的背景下,密鑰材料是需要特別機密儲存的密鑰方面。通常,關於密鑰的元數據具有低敏感性,並且可以通過普通的預防措施進行儲存、操作和顯示。密鑰材料(公鑰除外)更敏感,需要額外的預防措施:避免將副本儲存在記憶體中,在查看或提取之前需要額外的身份驗證,拒絕複製到未加密的儲存等。
例如,現在對我來說,“關鍵材料”在 Google 上的熱門搜尋是“在 AWS Key Management Service 中導入關鍵材料”。
AWS KMS 客戶主密鑰 (CMK) 是主密鑰的邏輯表示。除了 CMK 標識符和其他元數據之外,CMK 還包含用於加密和解密數據的密鑰材料。
在 AWS 中創建 CMK 時,您可以選擇讓 AWS 隨機生成密鑰材料,或導入您自己的密鑰材料。在任何一種情況下,您都將元數據(例如標識符)作為參數傳遞給密鑰創建請求。
另一個例子:PKCS#11並未始終使用術語“密鑰材料”,但它在密鑰對象的上下文中使用它(沒有正式定義) 。對於RSA 私鑰,密鑰材料由(RSA 特定的)屬性模數、公共指數、私有指數等組成。對於密鑰,密鑰材料是 PKCS#11 稱為“密鑰值”的單字節數組. 其他密鑰屬性,例如密鑰類型、開始和結束日期、使用策略“派生”、“加密”、“驗證”等是密鑰元數據,而不是密鑰材料。
如果您有一張包含解密密鑰的智能卡,並且您知道允許您使用該智能卡的 PIN,那麼您就可以訪問該密鑰,因為您可以將該密鑰用於其預期目的。但除非智能卡配置為允許提取密鑰,否則您無法訪問密鑰材料本身:只有智能卡具有密鑰材料。
鑑於缺少上下文,不可能給出明確的答案,但我相信我可以從我自己的密碼學相關文獻講座中提供一些有用的資訊。
正如我相信大多數人所理解的那樣,當密鑰和密鑰材料之間存在差異時,前者是指給定格式的加密密鑰,可以很容易地被給定的加密軟體使用,而後者要麼是指密鑰,但在更廣義的意義上或數據,例如密碼片語、共享秘密、偽隨機或真正隨機的密鑰可以從中派生。密鑰材料也可能指特定係統中使用的一組相關密鑰。
這個關於資訊安全堆棧交換的問題也可能被證明是有用的。