我公司的一名员工私钥遭到入侵,对公司造成了灾难性的后果。现在该公司正计划进行公钥/私钥管理。我想知道谷歌,亚马逊等大公司如何做关键管理。他们使用第三方应用程序进行集中化吗?或者他们使用要在组织中实施的PKI策略集来实现。他们如何管理关键生命周期?
谢谢你的时间。答案 0 :(得分:1)
我相信他们以非常不同的方式做到这一点,但有很多解决方案。对于AWS的观点,我建议你看一下AWS Cloud HSM,这是一个硬件安全模块,作为安全密钥管理服务提供: https://aws.amazon.com/cloudhsm
答案 1 :(得分:1)
如果您对安全性非常偏执,则不要将私钥存储在文件系统中,而是将其存储在硬件中。来自SafeNet或Thales/nCipher等公司的硬件安全模块(HSM)是一种物理加固的安全设备,旨在生成加密密钥。一旦在HSM上生成密钥,就无法将其删除。也就是说,您无法提取密钥并将其复制到其他地方以用于恶意目的。此外,它们还具有强化的操作系统和软件,旨在防止攻击者入侵设备。登录失败太多了?该设备可以安全地擦拭其内容。试着撬开盒子去掉拿着钥匙的闪存?物理硬件组件上有环氧树脂,最终会破坏它们。
这些设备通常还包括加密加速器,以提高执行加密操作的速度。它们还倾向于包括基于标准的API,例如PKCS#11或JCE,因此很容易与其他软件集成,例如Apache或Java JVM。
HSM并不便宜,但如果您真的担心加密材料的安全性,那就是保护它的方式。