MIN:密钥繁多难记难管理？认识高效密钥管理体系_onekeylite插件

作者：严强

来源：微众银行区块链

密钥设置是否只要够安全就能够重复使用？定期修改密钥到底有没有必要？密钥不幸遗失该如何恢复？素未谋面的双方，如何才能安全地进行密钥协商？

上一论我们了解到，基于密码学的隐私保护方案，其有效性很大程度上取决于能否有效管理好密钥。这里，我们将进一步分析密钥管理的具体范畴、每个操作环节的典型风险，以及应对手段。

密钥管理的对象是密钥本身或者用于生成密钥的密钥材料，三类主要操作环节包括密钥的使用、保存和协商。

鉴于人类用户和计算机系统在自身能力上的差异，需要使用不同技术手段和治理手段来实现有效的密钥管理，以下将对三类操作环节一一展开分析。

密钥的使用

密钥的使用是指，用户基于根密钥，为不同业务操作生成实际使用的密钥的过程。这一过程不仅仅包括，直接使用预先设定好的密钥，如输入用户记忆中的用户口令，还包括使用经过一定变换后的密钥。

其主要风险是密钥泄露导致的非授权使用，可能会造成以下后果：

由该密钥加密的隐私数据泄露。特别是当所有历史隐私数据都只用一个密钥加密时，攻击者将有可能获得所有历史隐私数据明文。

使用该密钥通过身份验证入侵系统。不只是数据，攻击者可以获得用户所有的操作特权，例如，恶意修改系统访问控制参数、使用具有法律效应的数字证书对未授权的内容进行数字签名等。

硬件钱包Ledger推出基于ID的密钥恢复服务Ledger Recover，引部分用户反对:5月16日消息，硬件钱包制造商 Ledger 今日发布 Ledger Nano X 固件 (2.2.1) 版本更新，该更新引入了一项名为 Ledger Recover 的服务/功能。据介绍，Ledger Recover 是一种基于 ID 的密钥恢复服务，可为用户的私钥恢复短语提供备份。目前，需要欧盟、英国、加拿大或美国签发的护照/国民身份证（ID）才能订阅该服务。在接下来的几个月中，将覆盖更多国家并增加对更多文件的支持。

然而，部分 Ledger 用户对该功能表示强烈反对，因为该功能需要在线存储秘密助记词并与护照或国民身份证相关联。该功能因要求 KYC 注册而面临批评，部分用户称这违背了加密社区中许多人持有的隐私价值观，破坏了硬件钱包的用途。[2023/5/16 15:06:31]

针对这些在密钥使用环节的风险，核心的应对手段为

密钥轮转，即每隔一定时间，生成一个新的密钥。

对于计算机系统，一般可以轻易生成新的随机密钥。新密钥与旧密钥可以没有任何关联，其有效期限和密钥本身都将保存在高安全级别的存储介质中，以此最小化密钥暴露的风险。

然而，以上方案对于用户而言，可用性不高。

对用户来说，生成一个安全的新密钥，且能够记住和使用它，已经不是一件容易的事。如果再进一步要求用户记忆多个超长、随机、无关联的密钥，那用户很有可能被迫“变通”，使用不安全的手段，例如将密钥全部写在纸上、未受保护的手机APP里。

Trust Wallet移动端应用已支持密钥云备份:2月22日消息，多链非托管钱包Trust Wallet移动端应用已支持密钥云备份，用户可将助记词备份至iCloud（iOS）或Google Drive（Android）。[2023/2/22 12:22:47]

如何让用户只记忆一个密钥，还能实现有效的密钥轮转，这里可以用到的关键技术是密钥派生函数。

KDF具有两个核心功能：

将一个短的用户口令延长到一个满足安全密钥长度的密钥。

由一个根密钥生成多个满足安全密钥长度的密钥。

典型的KDF，如IETFRFC2898标准中的PBKDF2函数，可以表达成如下形式：

DerivedKey?=?PBKDF2(PRF,?Password,?Salt,?IterationCount,?DerivedKeyLength)

其中：

PRF是一个随机数生成函数，负责在运算过程中生成一系列随机数。

Password是用户口令。

Salt是为了防止批量穷举攻击而设置的盐值，其作用等价于用户专属的随机种子。

IterationCount是生成派生密钥时所需迭代计算的次数，可以通过刻意增加迭代计算的次数，加大攻击者穷举攻击的难度。

DerivedKeyLength是派生密钥的长度，一般比用户口令长很多。

PBKDF2函数的五个输入中，用户只需要记忆用户口令Password，其他都可以由辅助的计算机系统来计算完成。用户口令可以根据用户的偏好设置，不影响用户体验。同时只要用户口令够长，安全性风险一般都比较可控。

Polygon首席安全官：每家大公司都该聘请一位密钥管理人员:金色财经报道，Polygon 区块链首席安全官 (CSO) Mudit Gupta近日在接受采访时建议所有区块链公司和大企业都应该招募传统安全团队，以防止黑客攻击，他透露最近加密领域的所有黑客攻击都可能与 Web2 安全性中存在的漏洞有关，其中包括私钥管理中的漏洞和网络钓鱼攻击以获取对钱包的登录访问权限，以及其他安全策略。Mudit Gupta称自己一直在推动所有区块链公司和大企业至少聘请一位真正知道密钥管理的专业安全人员，同时应该有适当的审计跟踪记录和适当的风险管理，但许多加密公司都忽略这个问题。（samacharcentral）[2022/9/12 13:24:10]

除了PBKDF2之外，BIP-32标准中HierarchicalDeterministic密钥钱包设计的核心也是KDF。区别在于BIP-32为椭圆曲线公钥密码学算法提供了特有的密钥派生规则，实现了子密钥树形扩展和中间节点公钥托管扩展，有兴趣的读者可以深入了解一下。

KDF技术上实现了密钥轮转，在治理上也有必要采取一定的措施，进一步降低密钥使用时的风险。常见治理策略主要覆盖了两大方面的风险：

密钥的最短长度和最低复杂性：密钥长度不能太短，不能被常见的字典库轻易破解。

密钥的复用：建议定期更改密钥，且不能复用历史密钥。对于计算机系统，可以进一步要求为不同的系统用途设置不同的密钥。

路印协议实施新方法生成二层账户密钥，可基于一个以太坊地址生成多个密钥:Loopring路印协议宣布实施一种新方法生成二层（Layer 2）账户密钥，允许用户使用客户端临时更新以太坊地址的帐户密钥，以便将账户密钥分享给第三方（比如做市商）后，然后撤销该帐户密钥。这意味着该方法让以太坊地址和账户密钥的映射成为一对多，而非一对一。该方法无需密码、可更新 / 可撤销、甚至针对同个账户密钥互不相同、完全兼容智能钱包以及与路印协议层解耦。[2020/5/15]

关于第一条治理策略，业界一般都没有什么异议，但对于第二条中，用户需定期更改密钥的建议，近年来也有一些不同观点。

实践中往往发现，为了方便记忆，不少用户采用了不安全的变通方式，选用了有强关联的一组用户口令。例如，2019年使用的旧口令为“password2019”，2020年使用的新口令为“password2020”，一旦旧口令泄露，也很容易推断出新口令。

反之，如果告知用户不需要定期更改口令，用户在心理上反而更有动力去设置一个更为复杂的口令。所以，实施定期更改用户口令的策略，不一定更安全。

除了以上治理策略，为了控制内部人员滥用密钥的风险，也很有必要将密钥的控制权分派到多个职能上相互约束的相关人员手中，只有当所有相关人员都同意使用时，才能正常使用，其背后的技术原理将在下一环节中提及。

密钥的保存

动态 | Brave 浏览器整合 Yubico 产品 支持为 iOS 设备提供安全密钥:隐私保护浏览器 Brave 宣布已支持身份验证硬件服务商 Yubico 的最新产品 YubiKey 5Ci，目前已同时支持在 iPhone 及 iPad 等 iOS 设备上提供安全密钥以防止网络钓鱼。Brave 已宣布和 Yubico 合作，此次整合新产品将 YubiKey 的支持带到 Brave iOS 客户端。安全密钥可以同时对网站和登录人员进行身份验证。[2019/8/21]

密钥的保存是指，用户将密钥保存在存储介质中，并在特定的情况下，从存储介质恢复出之前保存的密钥。

其主要的风险是因保存不当导致密钥泄露或遗失，除了上一环节中提到的后果之外，可能会额外造成以下后果：

由该密钥加密的隐私数据无法被解密。

由该密钥保护的权益无法被兑现。

针对这些在密钥保存环节的风险，核心的应对手段为

物理隔离和

密钥分片。

前者指的是，密钥保存的环境应该是一个与恶意环境隔离的安全环境。后者指的是，密钥保存时不应该整存整取，而是进行分片，由多个信任方分别保存，必要时还需要实现多地容灾恢复。

对于计算机系统，安全硬件模块和高物理安全的服务器房间是实现物理隔离常见的手段，必要时，保存密钥的设备可以一直保持离线状态，杜绝意料之外的非授权访问。

对于密钥分片，可以使用密码学秘密分享算法来实现。最常用的密码学秘密分享算法是Shamir秘密分享算法，由以色列密码学家AdiShamir在其1979年的论文『Howtoshareasecret』中提出。

Shamir秘密分享算法的核心思想是，将密钥的值设为一个N阶随机多项式中的常量参数，然后在该随机多项式上随机选M个点的坐标，这些坐标就是关于密钥的分片。

这些分片具有以下特性：

如果攻击者获得分片总数小于N，攻击者无法获得任意关于密钥的信息。

如果所有可能的分片总数M大于N，通过其中任意N个分片，使用拉格朗日多项式插值算法恢复出随机多项式之后，便可有效地恢复出密钥。

相比计算机系统，用户对于前一项物理隔离的要求可能更容易实现。相比读取存储介质中的数据，在未进行威逼利诱的前提下，用技术手段直接提取用户记忆中的密钥目前要困难得多。

但对于第二项密钥分片的要求，则需要配合各类托管技术，使用计算机辅助手段生成和保存高安全性的密钥分片。具体的技术分类和比较，可以参考上一论密钥托管相关内容。

无论采用哪一种技术，一般情况下，用户最少需要记忆一个用户口令。但如同房门钥匙一样，遗忘用户口令并不罕见，尤其是在账户数目和相关密钥总数繁多的情况下。

如果服务提供商提供有效的密钥重设服务，相比将密钥全部写在纸上或手机APP里，通过密钥重设服务重设密钥，密钥泄露风险可能更低。

密钥的协商

密钥的协商是指，多个用户或系统远程协商即将在交互过程中所使用的密钥。

作为社会性生物，和陌生人交换信息，是人类生活中必不可少的组成部分。在当前数据驱动的时代，计算机系统通过跨域交换信息实现更大的价值发掘，是现代信息化商业核心业务模式之一。

在这些信息交换过程中，最典型的应用之一是隐私数据的端到端加密传输，为此需要生成一次性密钥对信息进行加密保护。在缺乏可信信道的前提下，能否与交互方安全地完成密钥协商，对于隐私数据的保护尤为关键。

其主要的风险是恶意通信环境中的密钥截取或篡改，除了密钥使用环节中提到的后果之外，可能会额外造成以下后果：

由该密钥保护的隐私数据被篡改。例如，金融交易中的收款人、付款金额。

由该密钥保护的其他密钥泄露。例如，通过加密信道传输的后续协议中所约定使用的密钥。

针对这些在密钥协商环节的风险，核心的应对手段为

认证交换和

认证分发。

对于计算机系统，根据业务场景和部署环境安全假设的不同，认证密钥交换的协议有很多不同的类型，最常用的是基于公钥证书体系和Diffie-Hellman密钥交换协议。

关于认证密钥分发，经典密码学相关方案有基于公钥证书体系的密钥封装、基于可信中间代理和代理重加密的密钥密文转换等。比较创新的技术方案包括在第6论中提到的基于量子纠缠理论的量子密钥分发技术，我国的墨子号量子科学实验卫星已经实现了千公里级星地双向量子纠缠分发原型实验。

在技术手段的协助下，用户往往对于密钥协商是无感的。例如，我们在使用浏览器时，通常不会意识到，对不同的网站建立安全连接时，会根据不同网站的不同数字证书，进行密钥的认证交换，并最终使用不同的一次性密钥与不同的网站通信。

但用户也需要警惕，核实认证的有效性。一旦数字证书失窃或者过期，攻击者就有机会假扮服务提供方，截获用户的隐私数据，篡改用户的操作请求，实施经典的中间人攻击。

密钥管理的三大环节中，存在着大量的风险点。由于密钥是密码学中的最高机密，窃取密钥往往是攻击者的首要目标。任何一个环节出现问题，对应隐私保护方案的整体有效性，都会受到严重影响。

本论的分享主要关注技术方案和治理策略层面，在实际方案部署时，工程实现和其他相关层面的保护也很关键，会需要更完备的组合策略，从多个维度上提供层次化的保障。

正是：密钥管理谨小慎破解，技术治理合璧显神功！

有效的密钥管理是使用基于密码学的隐私保护方案的重要前提。无论隐私保护方案内部设计多么精妙，任何在密钥使用、保存、协商环节中出现的疏漏，都会使之功亏一篑。

除了传统的安全性分析，针对用户的可用性分析也至关重要。在实际隐私保护应用中，高于常规人类认知记忆能力的要求，都会促使用户使用不安全的变通手段，导致最终效果大打折扣。

有效的密钥管理需要在多个维度上融合技术方案和治理策略，同时实现安全性和可用性之间的平衡和优化。

了解完密钥相关的重要原则和管理技术，自下一论开始，我们将分享在实际的密码学算法中如何使用这些密钥，深入解析隐私保护相关的密码学原语，欲知详情，敬请关注下文分解。

标签：KEYADMMININKonekeylite插件ADMONKEYMineplextronlink官网

中币下载热门资讯