Keys
普遍接受的密鑰管理標準?
我正在使用的應用程序在其隱私政策中已聲明他們使用普遍接受的標準來保護數據。他們加密伺服器上的數據。
那麼,密鑰管理的*“普遍接受的標準”是什麼?*
有一些被認為是普遍的,但有些人可能不同意它被普遍接受:
ISO 27001/27002 落地,因為它也是公認的數據保護標準。它有一個關於密鑰管理的部分,基於非常明顯的目標:必須保護加密密鑰不被修改、失去、破壞和洩漏。它要求系統圍繞密鑰管理有一定的程序:
- 密鑰生成
- 公鑰生成證書
- 密鑰分發/啟動程序
- 密鑰儲存和經過身份驗證的密鑰訪問
- 密鑰更改程序
- 處理洩露的密鑰、密鑰撤銷等。
- 業務連續性目標(如果撤銷密鑰保護唯一數據怎麼辦)
- …我當然在這裡忘記了一些東西,多年來沒有觸及標準,但即使在 ISO 形式主義之外,上述程序也非常重要。
NIST 有這個漂亮的文件,在某些圈子裡可以算是一個標準。
前段時間,有人要求我寫一篇對新手友好的部落格文章,介紹現代應用程序開發人員可能想了解的典型密鑰管理程序。它還以某種方式概述了密鑰管理和保護的普遍接受的標準措施,但我試圖使解釋盡可能簡單易懂。