信封加密
信封加密 是什么?
信封加密一种将大块数据用快速数据密钥加密、再用 KMS 或 HSM 中保管的主密钥对该数据密钥进行加密(封装)的模式。
信封加密将批量对称加密与密钥保管解耦。每个对象使用独立的数据加密密钥(DEK,通常是新的 AES-256 密钥)加密负载,然后由长期存在的密钥加密密钥(KEK,即主密钥)对 DEK 进行加密,KEK 始终保存在 KMS 或 HSM 中,不会外泄。只有被封装的 DEK 与密文一同存储;解密时需通过 IAM 授权的 KMS 调用来解封 DEK。该模式具有本地加密速度快、可按租户或记录使用独立密钥、轮换成本低(只需重新封装 DEK 而非重新加密数据)以及清晰的审计轨迹等优点。AWS KMS、Google Cloud KMS、S3 SSE-KMS 以及大多数云存储加密方案均以此为基础。
● 示例
- 01
AWS KMS GenerateDataKey 同时返回明文 DEK 与其封装版本。
- 02
Google Cloud Storage CMEK 使用客户托管 KEK 的信封加密。
● 常见问题
信封加密 是什么?
一种将大块数据用快速数据密钥加密、再用 KMS 或 HSM 中保管的主密钥对该数据密钥进行加密(封装)的模式。 它属于网络安全的 密码学 分类。
信封加密 是什么意思?
一种将大块数据用快速数据密钥加密、再用 KMS 或 HSM 中保管的主密钥对该数据密钥进行加密(封装)的模式。
信封加密 是如何工作的?
信封加密将批量对称加密与密钥保管解耦。每个对象使用独立的数据加密密钥(DEK,通常是新的 AES-256 密钥)加密负载,然后由长期存在的密钥加密密钥(KEK,即主密钥)对 DEK 进行加密,KEK 始终保存在 KMS 或 HSM 中,不会外泄。只有被封装的 DEK 与密文一同存储;解密时需通过 IAM 授权的 KMS 调用来解封 DEK。该模式具有本地加密速度快、可按租户或记录使用独立密钥、轮换成本低(只需重新封装 DEK 而非重新加密数据)以及清晰的审计轨迹等优点。AWS KMS、Google Cloud KMS、S3 SSE-KMS 以及大多数云存储加密方案均以此为基础。
如何防御 信封加密?
针对 信封加密 的防御通常结合技术控制与运营实践,详见上方完整定义。
信封加密 还有哪些其他名称?
常见的别称包括: 封装密钥加密, DEK/KEK 模式。
● 相关术语
● 参见
- № 871代理重加密