创建加密密钥有两种方法：生成随机密钥或计算密钥。很容易理解为什么随机密钥是好东西。没有任何计算技巧能帮助攻击者猜出一个随机值，比直接猜出所有可能的值直到猜对更好。但也有可能以与传统方法同样安全的方式动态生成密钥：使用一次性生成的随机种子材料，然后根据需要将密钥 "名称 "或 "标识符 "与种子材料相结合，生成密钥。

什么是派生密钥？

计算密钥最安全的方法是使用安全的密钥派生函数（KDF），其输出是派生密钥。派生密钥与随机密钥一样安全，但它们有一些显著的实用优势。特别是，购买、使用和维护采用这些技术的系统的成本要低得多。

如何存储加密密钥？

传统的密钥管理需要一个复杂的序列：生成密钥，标记为 "尚未使用 "并备份；使其可用；分配名称；标记为 "正在使用 "并停用，使其不再可用；以及更多，包括复制、同步、归档和权限管理。这很繁琐，使用许多加密密钥的安装程序很快就会发现，密钥管理的工作量甚至超过了实际加密的工作量。

哪种加密密钥生成模式更好？

随机密钥生成方法的缺点是，在使用新密钥加密数据之前，必须备份每一个新密钥。否则，如果密钥存储失败，受保护数据将无法解密。

相比之下，派生密钥具有一些显著的实用优势。由于秘密很少改变，因此不需要经常备份，也不需要整个创建-激活-命名-停用序列（授权除外）。多个密钥服务器可以从一个备份中创建，并保证从相同的输入中获得相同的密钥，因为原始种子材料被重复使用，而不需要任何实时复制或同步。此外，还不存在丢失密钥的风险：如果应用程序丢失了派生密钥，可以像最初生成密钥一样轻松地重新派生。

如何提供加密密钥？

无论采用哪种密钥管理解决方案，确保密钥不被用户误操作都是一项重大挑战。让用户和开发人员脱离密钥管理至关重要。应用团队不应参与加密密钥的存储、保护或轮换，也不应实际拥有密钥。相反，应该为它们提供密钥标识符和通向抽象层的接口，该抽象层可自动生成、检索、缓存、保护和刷新密钥。

Micro Focus 如何帮助进行密钥管理？

Voltage SecureData by OpenText™ 实现了无状态密钥管理，为企业提供了前所未有的规模和简化的密钥管理。使用 Voltage SecureData，密钥管理也被抽象化，这意味着开发人员无需持有密钥，因此也无需存储密钥。相反，它们存储的是身份（键名），可以是有意义的字符串，如PAN、SSN、SensitiveData 等。开发人员可以将这些身份信息存储在属性文件中，无需任何保护，因为它们并不敏感。SecureData 客户端软件负责密钥管理流程--密钥检索、安全、缓存等。通过基于 REST 的远程操作，密钥永远不会暴露在 SecureData 服务器之外。SecureData 支持在 SecureData 服务器或 HSM 内生成密钥。

加密很难，密钥管理更难；但有办法让密钥管理变得更容易，同时完全符合最严格的标准。Voltage SecureData使密钥管理变得简单，有助于保护数据安全计划的这一关键方面。

关键管理

立即开始

了解更多信息