密码敏捷性
密码敏捷性 是什么?
密码敏捷性系统在威胁或标准变化时,能够快速、安全地替换加密算法、参数或密钥的能力。
密码敏捷性(crypto agility)是一种设计原则,要求系统能够在不重写应用代码、不破坏互操作的前提下升级算法、密钥长度、证书类型与协议。实现手段包括算法标识与协商(如 TLS 加密套件和 JOSE alg 参数)、PKCS#11 和 KMS 等抽象层、可配置的加密库、ACME 等自动化证书生命周期管理,以及对加密使用位置的清单。在 SHA-1、RSA-1024、3DES 等被淘汰时,密码敏捷性已变得至关重要,而 NIST 与各国监管要求的后量子迁移使其成为前提条件。缺乏敏捷性会在算法突然被攻破时导致长达数年的改造工程。
● 示例
- 01
仅通过配置即可推出 X25519+ML-KEM 混合密钥交换的 TLS 服务器。
- 02
在厂商更新后,将代码签名流水线中的 RSA-PSS 替换为 ML-DSA。
● 常见问题
密码敏捷性 是什么?
系统在威胁或标准变化时,能够快速、安全地替换加密算法、参数或密钥的能力。 它属于网络安全的 密码学 分类。
密码敏捷性 是什么意思?
系统在威胁或标准变化时,能够快速、安全地替换加密算法、参数或密钥的能力。
密码敏捷性 是如何工作的?
密码敏捷性(crypto agility)是一种设计原则,要求系统能够在不重写应用代码、不破坏互操作的前提下升级算法、密钥长度、证书类型与协议。实现手段包括算法标识与协商(如 TLS 加密套件和 JOSE alg 参数)、PKCS#11 和 KMS 等抽象层、可配置的加密库、ACME 等自动化证书生命周期管理,以及对加密使用位置的清单。在 SHA-1、RSA-1024、3DES 等被淘汰时,密码敏捷性已变得至关重要,而 NIST 与各国监管要求的后量子迁移使其成为前提条件。缺乏敏捷性会在算法突然被攻破时导致长达数年的改造工程。
如何防御 密码敏捷性?
针对 密码敏捷性 的防御通常结合技术控制与运营实践,详见上方完整定义。
密码敏捷性 还有哪些其他名称?
常见的别称包括: 算法敏捷性, 加密敏捷性。
● 相关术语
- cryptography№ 846
后量子密码学
面向经典计算机与大规模量子计算机均能保持安全的经典密码算法体系。
- cryptography№ 465
先收割,后解密
一种攻击策略,对手当下记录加密流量,等到具备密码学意义的量子计算机出现后再行解密。
- cryptography№ 589
密钥轮换
定期用新密钥替换旧密钥的运维实践,用以限制单一密钥所保护的数据量并控制泄露影响。
- cryptography№ 246
密码学擦除
通过安全销毁加密密钥而非覆盖存储介质本身,使加密数据无法恢复。
- network-security№ 1159
TLS(传输层安全)
由 IETF 标准化的加密协议,为两个联网应用之间的通信提供机密性、完整性与认证。
● 参见
- № 891量子密钥分发(QKD)
- № 086BB84 协议