行业新闻与博客

泄露的加密密钥对任何组织都会产生毁灭性影响 - 只需询问主要的 Android 设备制造商，他们的密钥被用来分发恶意软件。以下是有关加密密钥的知识、它们的工作原理以及如何保证您的安全。

加密可以保护一切，从您用于在线购买商品的信用卡交易到您与医生分享的健康信息。这是一个复杂的系统，依赖加密密钥来帮助确保信息安全。

但什么是加密密钥，我们如何使用它们？我们将探讨加密密钥在现代通信中的作用以及如何保护它们。

让我们来讨论一下。

什么是密钥？90 秒加密密钥概述

加密密钥是一串字符（通常是随机或数学生成的），与加密算法配对以保护数据。算法是执行多个重要密码功能的数学公式。涉及加密密钥的两个最常见的功能是数据加密和解密：

• 加密使用密钥将明文（可读）数据打乱为不可读的乱码（称为密文）。这可以保护数据的机密性免遭窥探。
• 解密使拥有正确密钥的人能够从乱码密文中重新计算原始数据。这样，他们——而且只有他们——可以阅读该消息。

当秘密加密密钥被暴露或泄露时，这意味着用于保护的任何内容现在都面临泄露的风险。

在近 4000 年的人类历史中，有许多使用密钥来传递秘密信息的实例。这包括从古埃及墓碑铭文到第一次世界大战后与英国政府通信总部 (GCHQ) 相关的活动的一切。最著名（也是最简单）的密钥应用示例之一是凯撒移位密码。这种基本替换密码将字母表“移动”一定数量的空格（例如，A变为D，N变为P）。在这种情况下，“关键”就是知道需要移动多少个空格来解密消息。

当您登录您最喜欢的网站时，可以看到一个常见的加密示例。如果您看到安全挂锁图标（如下图所示），则意味着您正在访问使用 SSL/TLS 进行公钥加密保护的网站。（我们将在本文后面详细讨论这一点。）

注意：根据 Google Chrome 安全团队最近的更新，这个值得信赖的小挂锁图标将从 Chrome 117 开始在 Google Chrome 中消失，预计将于 2023 年 9 月推出。相反，浏览器将显示一个“调谐”图标，用户可以单击该图标以获取信息。

加密密钥分为两大类：对称和非对称

不同的加密方法涉及使用一个或两个加密密钥。在深入研究它们的用途之前，让我们先探讨一下它们。

对称密钥=解密和解密数据的单个私钥

对称加密使用单个密钥，称为对称密钥。发送者和接收者都需要拥有密钥的副本来加密和解密数据。因此，该私钥必须保密，以便任何非预期的第三方都不能使用它来解密他们的秘密消息。当您使用单个密钥加密和解密数据时，它称为对称加密、对称加密或私钥加密。

想象一下，您刚刚完成了房屋装修，该项目包括用您在当地五金店购买的门锁更换所有内门和外门。因此，您安装的每扇门都有自己单独的锁，需要单独的钥匙才能打开。（这更接近于非对称加密，因为每个密钥只适合其相应的锁 - 但我们稍后将深入探讨这一点。）

然而，使用对称钥匙就像重新设置家中所有门锁的钥匙，以便用一把钥匙就可以打开它们。这非常方便，因为您只需要一把钥匙，但这也意味着您必须竭尽全力保证钥匙的安全。否则，如果有人拿到了那把钥匙，你家里的一切都会受到损害。

对称密钥的棘手之处之一是它们要求两个通信方以安全的方式会面，以便他们每个人都有密钥的副本。（想想你在电影中看到或在书中读到的那些典型的秘密间谍聚会。）如果你与对方位于同一地理区域，这还不算太糟糕。但是，如果您现在需要共享敏感信息但没有时间见面交换密钥怎么办？或者，当您尝试与位于另一个州、国家或世界另一端的人安全地通信时会发生什么？你会运气不好的。

要了解有关公钥-私钥对如何在各种加密用途中工作的更多信息，请查看我们的另一篇文章，该文章更深入地探讨了该主题。

但为什么要费心切换到对称加密呢？难道不能一直使用非对称密钥吗？从技术上讲，是的，您可以单独使用非对称加密在开放通道上安全地进行通信。然而，在处理数千或数百万个连接时，为热门网站实现这一点所需的资源成本太高。这就是为什么我们使用非对称密钥来交换对称密钥加密会话以提高可扩展性。

查看电气和电子工程师协会 (IEEE) 的研究人员最近对不对称和对称应用进行的成本比较分析。剧透警报：他们的研究表明，通过采用对称密钥系统，“基于公钥的应用程序的全球能源成本节省了 58%”。

对称密钥和非对称密钥的快速比较

密钥也可以通过其用途和应用来识别

有时，加密密钥是指它们在加密过程中所扮演的角色。我们不会讨论所有这些，因为它们根据您正在执行的加密过程的类型而有所不同，但以下是几个示例的快速概述：

• 会话密钥— 这些密钥用于在各个会话（例如，连接到网站或 Web 应用程序）期间加密数据。
• HMAC 密钥— 这些密钥用于创建基于哈希的消息身份验证代码中使用的数字签名。
• 数据加密密钥 (DEK) — 这些密钥使您能够加密服务器上的静态数据。DEK 也可以是主密钥。
• 密钥加密密钥 (KEK) — 这些密钥也称为密钥包装密钥，用于加密执行静态和传输中数据加密的其他加密密钥。这意味着它们可以是对称的或不对称的，具体取决于任务。
• 流量加密密钥 (TEK) — 这些加密密钥用于加密传输中的数据，防止中间人攻击和其他拦截方法。 
• 主密钥——“主密钥”的含义根据其用途而有所不同。它也称为密钥派生密钥，因为它部分用于使用密钥派生方法计算其他密钥。

大密钥比小密钥更安全（但可扩展性较差）

一般来说，密钥越大，就越安全。例如，256 位 AES 对称密钥比 128 位对称密钥更强，3078 位 RSA 非对称密钥比 2048 位非对称密钥更安全。较大的密钥有助于阻止试图猜测您的密钥的暴力攻击者，因为使用现代计算机资源几乎不可能猜测所有可能的组合。

让我们快速比较一下公钥和私钥。我们使用 devglan.com 的 RSA 密钥生成器工具为本示例生成 2048 位 RSA 密钥对。

公钥：

MIIBIJANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAnfyxkfwlj+QmitT4lVxrQLHAuJLRl2oIvy+J3I1cuWbyJWXfcmwzc99HRPL6qvfT3IdkJphxok1KZZf6r38v5HpUacSbLyHfi3s0JjclM09Hv zuqWqHe1BJhP14RTIaa2ZVcZZvnFOm91U7VSR3lVFVOBFcfJYGTlvIVtXo57KYKYdwsZmiMlNZ3Zr8BX9gqY/Vl7sgjm9tJhBlpDFHCA0/v1jFlsYgddbOXl8ar7Dhp6VyOFG7ifahjmb7rUjzBvIVm 7BG7Ds3IFkNvJAXVzfqqW/Zvru73X0AYOGwE5KWbjYN04JwErNI+2JDpk8d6gJrxb/MT6xXjEBuwc/s1mQIDAQAB

私钥：

MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQCd/LGR/CWP5CaK1PiVXGtAscC4ktGXagi/L4ncjVy5ZvIlZd9ybDNz30dE8vqq99Pch2QmmHGiTUpll/qvfy/kelRpxJsvid+LezQmNyUzT0 e/O6paod7UEmE/XhFMhprZlVxlm+cU6b3VTtVJHeVUVU4EVx8lgZOW8hW1ejnspgph3CxmaIyU1ndmvwFf2Cpj9WXuyCOb20mEGWkMUciIDT+/WMWWxiB11s5eXxqvsOGnpXI4UbuJ9qGOZvutSPMG8hW bsEbsOzcgWQ28kBdXN+qpb9m+u7vdfQBg4bATkpZuNg3TgnASs0j7YkOmTx3qAmvFv8xPrFeMQG7Bz+zWZAgMBAAECggEADz17G6wJK5JERYvR1watSfZbsvJmyYZvBZJeaCoy0ae+o CDtpyoM5JabV2lhCPETPOjKnnaCL7fo/1fj1N4eDppGXlWa6rcHy3q9ExqugJh1264BjorNqX3P5ehb5JkiazA1wRtDDVoHJWYOY9qufHorr6AwKt5Q0xjD7iUseFDN1jsnAQcbl1kifTcc9lbkSv9+zyBmz VQCSVifITe39YmBBCtGJWbC2+acs2shcO7XOZrDjYABqlYRP7O1XXo0dJYnvat9EnLMTRwQZZwCXhavn+Iyrt2Odd3Vil3w5jSdIOiXivq2C9suZ5c8HIiAepm1Fvu7evo2OfUxTu9CQKBgQDtGN0wn 5LURCIOAO/FNNUobG+wYr7u4QnuucbwP+j9aF7Eo6LrPdgZw4o4DwMTP/roC/2lNy4RyhQ6Y8CZ7ehxmZLTkCPeGaKRyzm6Z2fq0x3fielqIH9L3SeIgDnTwTxjJ9/Jq5UOvFsj5a1u6+6W9Z0iqDDVGAb+aWa+ic85iwKBgQCqlTL6mtRni1P2pfm8la3p+SjurJKwFaXlLbd6QphptYud8ox81JNCDeTMXUkXHcYwNRarxkqGKqe 43j2oHj7XEmEGJUqOXG/9uUa2CBGVIy2b0EIEFnvw8Tj9T13EFi+3p48ksg9C33Jzv9Kcebjhb3B0h6rJuRu9LXEXSaKJ6wKBgQCkCVXPNDgECQuZqyQ4TmtDgnJrmIX9A5k5nzKyOaVa3YDjj0 TCCHE3EgBo9InuIY/GSql8SwcGq8b+9tDkLqNpJRVeZhVKrnW5ZN9VxgExiErcw6/ICx/HPwUA/aYEiWbcO1QrVRjVjx+HYHpziawSqW/D8JWIeQ0tq4K4ROQoLQKBgE8DFL3ngYMEkjuo3Whw nEHH2yHSZY+SN2lUJ6xFtHsiUC0078XSY/XyoYvXmcdPT0F9FaczDcnfcBi9OCnq+Ih+Rtql40bVojoP26TtT9eYl8OYTzu9fmM4GIGchX4SGMAkqLUClPcQsN7UdyVrbCtfhuMzA/Sz/Rk/N ybmQJdJAoGAOR1qIyDpjal8YE/SeK+pI5ZAosADIW3zSPNrGxSbX8kqtdqTDODtP0JgXWfBuB7B2OM6SiV4AID0y/XRGmmyCD3tom7P/ s3HnwUt5LxUhVgQ0Ufcw4IkfScNHVTfXBgu1aVN7eLPQMmfM+Inh7z4Gdcbf/xW2KyOdBFcI7Y8ZKE=fm8la3p+SjurJKwFaXlLbd6QphptYud8ox81JnCDeTMXUkXHcYwNRarxkqGKqe43j2oHj7XEmEGJUqOXG/9uUa2CBGVIy2b0EIEFnvw8Tj9T13EFi+3p48ksg9C33Jzv9Kcebjhb3B0h6r JuRu9LXEXSaKJ6wKBgQCkCVXPNDgECQuZqyQ4TmtDgnJrmIX9A5k5nzKyOaVa3YDjj0tCchE3EgBo9InuIY/GSql8SwcGq8b+9tDkLqNpJRVeZhVKrnW5ZN9VxgExiErcw6/ICx/HPWUA/aYEiWbc O1QrVRjVjx+HYHpziawSqW/D8JWIeQ0tq4K4ROQoLQKBgE8DFL3ngYMEkjuo3WhwnEHH2yHSZY+SN2lUJ6xFtHsiUC0078XSY/XyoYvXmcdPT0F9FaczDcnfcBi9OCnq+Ih+Rtql40bVojoP26Tt T9eYl8OYTzu9fmM4GIGchX4SGMAkqLUClPcQsN7UdyVrbCtfhuMzA/Sz/Rk/NybmQJdJAoGAOR1qIyDpjal8YE/SEK+PI5ZAosADIW3zSPNrGxSbX8kqtdqTDODtP0JgXWfBuB7B2OM6SiV4 AID0y/XRGmmyCD3tom7P/s3HnwUt5LxUhVgQ0Ufcw4IkfScNHVTfXBgu1aVN7eLPQMmfM+Inh7z4Gdcbf/xW2KyOdBFcI7Y8ZKE=fm8la3p+SjurJKwFaXlLbd6QphptYud8ox81JnCDeTMXUkXHcYwNRarxkqGKqe43j2oHj7XEmEGJUqOXG/9uUa2CBGVIy2b0EIEFnvw8Tj9T13EFi+3p48ksg9C33Jzv9Kcebjhb3B0h6r JuRu9LXEXSaKJ6wKBgQCkCVXPNDgECQuZqyQ4TmtDgnJrmIX9A5k5nzKyOaVa3YDjj0tCchE3EgBo9InuIY/GSql8SwcGq8b+9tDkLqNpJRVeZhVKrnW5ZN9VxgExiErcw6/ICx/HPwUA/aYEiWbc O1QrVRjVjx+HYHpziawSqW/D8JWIeQ0tq4K4ROQoLQKBgE8DFL3ngYMEkjuo3WhwnEHH2yHSZY+SN2lUJ6xFtHsiUC0078XSY/XyoYvXmcdPT0F9FaczDcnfcBi9OCnq+Ih+Rtql40bVojoP26Tt T9eYl8OYTzu9fmM4GIGchX4SGMAkqLUClPcQsN7UdyVrbCtfhuMzA/Sz/Rk/NybmQJdJAoGAOR1qIyDpjal8YE/SEK+PI5ZAosADIW3zSPNrGxSbX8kqtdqTDODtP0JgXWfBuB7B2OM6SiV4 AID0y/XRGmmyCD3tom7P/s3HnwUt5LxUhVgQ0Ufcw4IkfScNHVTfXBgu1aVN7eLPQMmfM+Inh7z4Gdcbf/xW2KyOdBFcI7Y8ZKE=kCVXPNDgECQuZqyQ4TmtDgnJrmIX9A5k5nzKyOaVa3YDjj0tCchE3EgBo9InuIY/GSql8SwcGq8b+9tDkLqNpJRVeZhVKrnW5ZN9VxgExiErcw6/ICx/HPwUA/aYEiWbcO1QrVRjVjx+HYH pziawSqW/D8JWIeQ0tq4K4ROQoLQKBgE8DFL3ngYMEkjuo3WhwnEHH2yHSZY+SN2lUJ6xFtHsiUC0078XSY/XyoYvXmcdPT0F9FaczDcnfcBi9OCnq+Ih+Rtql40bVojoP26TtT9eYl8OYTzu9f mM4GIGchX4SGMAkqLUClPcQsN7UdyVrbCtfhuMzA/Sz/Rk/NybmQJdJAoGAOR1qIyDpjal8YE/SeK+pI5ZAosADIW3zSPNrGxSbX8kqtdqTDODtP0JgXWfBuB7B2OM6SiV4AID0y/XRGmmyCD3tom 7P/s3HnwUt5LxUhVgQ0Ufcw4IkfScNHVTfXBgu1aVN7eLPQMmfM+Inh7z4Gdcbf/xW2KyOdBFcI7Y8ZKE=kCVXPNDgECQuZqyQ4TmtDgnJrmIX9A5k5nzKyOaVa3YDjj0tCchE3EgBo9InuIY/GSql8SwcGq8b+9tDkLqNpJRVeZhVKrnW5ZN9VxgExiErcw6/ICx/HPwUA/aYEiWbcO1QrVRjVjx+HYH pziawSqW/D8JWIeQ0tq4K4ROQoLQKBgE8DFL3ngYMEkjuo3WhwnEHH2yHSZY+SN2lUJ6xFtHsiUC0078XSY/XyoYvXmcdPT0F9FaczDcnfcBi9OCnq+Ih+Rtql40bVojoP26TtT9eYl8OYTzu9f mM4GIGchX4SGMAkqLUClPcQsN7UdyVrbCtfhuMzA/Sz/Rk/NybmQJdJAoGAOR1qIyDpjal8YE/SeK+pI5ZAosADIW3zSPNrGxSbX8kqtdqTDODtP0JgXWfBuB7B2OM6SiV4AID0y/XRGmmyCD3tom 7P/s3HnwUt5LxUhVgQ0Ufcw4IkfScNHVTfXBgu1aVN7eLPQMmfM+Inh7z4Gdcbf/xW2KyOdBFcI7Y8ZKE=fhuMzA/Sz/Rk/NybmQJdJAoGAOR1qIyDpjal8YE/SeK+pi5ZAosADIW3zSPNrGxSbX8kqtdqTDODtP0JgXWfBuB7B2OM6SiV4AID0y/XRGmmyCD3tom7P/s3HnwUt5LxUhVgQ0Ufcw4Ik fScNHVTfXBgu1aVN7eLPQMmfM+Inh7z4Gdcbf/xW2KyOdBFcI7Y8ZKE=fhuMzA/Sz/Rk/NybmQJdJAoGAOR1qIyDpjal8YE/SeK+pi5ZAosADIW3zSPNrGxSbX8kqtdqTDODtP0JgXWfBuB7B2OM6SiV4AID0y/XRGmmyCD3tom7P/s3HnwUt5LxUhVgQ0Ufcw4Ik fScNHVTfXBgu1aVN7eLPQMmfM+Inh7z4Gdcbf/xW2KyOdBFcI7Y8ZKE=               

巨大差距。

如果您将对称密钥与非对称密钥进行比较，您可能会惊讶地发现密钥大小在安全强度方面并不相同。例如，256 位 AES 对称密钥比 3072 位 RSA 非对称密钥更安全。美国国家标准与技术研究院 (NIST) 在其“密钥管理建议：第 1 部分”中列出了 AES 256 位密钥，大致相当于 15360 位 RSA 密钥。此外，由于非对称加密需要使用两个密钥，因此它比只需要一个密钥的对称加密慢。

只有您的密钥安全，加密才是安全的

加密秘密提供的安全性取决于您管理和保护它们的程度。丢失或被盗的钥匙对您没有任何好处，因为它有被泄露的风险。一旦密钥被泄露，用于保护的任何内容的安全性都将面临风险。这对您来说是个坏消息，但对网络犯罪分子来说却是个好消息。

您可以使用密钥管理系统并遵循密钥管理最佳实践来保护您的加密密钥。稍后我们会详细讨论这一点。但首先，让我们看看加密密钥的作用；然后，我们将探讨它们在您的组织中使用的一些最常见的方式。