不管喜欢与否,我们都正在转向公共云。为什么呢?因为这样构建信息系统的成本通常要低得多,我们就不必担心在硬件上的投资。
KMS(密钥管理存储)
在AWS云中,我们使用KMS(密钥管理存储)来创建密钥(图1),然后可以使用密钥来加密/解密数据、签名/验证签名、导出数据密钥和生成/验证MAC(消息身份验证码)。
图1:AWSKMS
总的来说,我们有AWS管理的密钥(例如Lambda服务)、客户管理的密钥(这些是由客户创建和管理的)和自定义密钥存储(这些是客户完全控制密钥的密钥存储)。
Silvergate同意美联储关于加密货币友好银行清算计划的最后期限:金色财经报道,Silvergate Bank已同意美联储命令,在10天内向加州金融监管机构提交自我清算计划。美联储理事会周三宣布了该命令,作为结束这家对加密货币友好的加州银行业务的过程的一部分,该银行必须保存现金和其他资源,以使储户得到补偿。[2023/6/2 11:53:35]
AWS可以使用哪些密钥类型?
可以将密钥用于ECS(计算)、EBS和S3(存储)以及一系列其他服务。总的来说,我们使用对称密钥或RSA密钥对来进行加密和解密。对称密钥使用AES加密,而RSA使用2K、3K或4K密钥,并使用「RSAES_OAEP_SHA_1」或「RSAES_OAEP_SHA_256」填充。使用RSA,我们用公钥加密,用私钥解密。对于签名,我们可以使用RSA或ECC签名。对于RSA,我们有2K、3K或4K密钥,而ECC签名使用NISTP256、NISTP384、NISTP521和SECGP256k1(在比特币和以太坊中使用)。
美国财务会计准则委员会发布关于加密资产会计和披露的拟议会计准则更新:4月3日消息,美国财务会计准则委员会(FASB)关于加密资产会计和披露的拟议会计准则更新,提议更像对待传统资产那样对待加密资产,并将提高估值的准确性。
目前,公认会计原则(GAAP)要求公司在资产负债表上将持有的加密货币视为“无限期无形资产”。根据现行公认会计原则,加密资产每年都会进行减值测试。[2023/4/4 13:42:48]
AWS可以访问自己的密钥吗?
KMS使用符合FIPS140-2的硬件安全模块(HSM),AWS员工(或任何其他客户)无法访问这些模块。它们永远不会出现在任何磁盘或备份中,只存在于HSM的内存中,并且只在使用时加载。此外,密钥可以被限制在世界的一个区域(除非由用户定义)。
美国财长耶伦:拜登关于加密货币的指令将解决非法金融风险:金色财经报道,美国财政部长Janet L. Yellen就拜登总统关于加密资产的行政命令发表了以下声明。拜登总统的历史性行政命令呼吁对数字资产政策采取一种协调和全面的方法。 这种方法将支持负责任的创新,可能为国家、消费者和企业带来巨大的利益。 它还将解决与非法金融有关的风险,保护消费者和投资者,并防止对金融系统和更广泛的经济的威胁。
根据该行政命令,财政部将与机构间同事合作,编写一份关于货币和支付系统未来的报告。我们还将召集金融稳定监督委员会,评估数字资产的潜在金融稳定风险,并评估是否有适当的保障措施。而且,由于数字资产提出的问题往往具有重要的跨境层面,我们将与我们的国际伙伴合作,促进健全的标准和公平的竞争环境。这项工作将补充财政部正在进行的努力。该部已经与总统的金融市场工作组、联邦存款保险公司和美国中央银行合作,研究一种特殊的数字资产--稳定币,并提出建议。根据该行政命令,财政部和机构间合作伙伴将在最近发布的国家风险评估的基础上,确定与数字资产相关的主要非法融资风险。[2022/3/9 13:45:53]
对于对称密钥,密钥永远不会出现在HSM之外,对于非对称密钥(公钥加密),私钥在HSM内部阶段,只有公钥被导出到外部。
Gemini宣布继续参与夏威夷的数字货币创新沙盒:7月12日消息,Gemini宣布,其参与数字货币创新实验室 (DCIL)的计划将延长两年,该计划旨在为夏威夷居民提供受监管的加密访问。尽管最初的DCIL计划计划于今年晚些时候对所有参与者结束,但夏威夷金融机构部 (DFI) 和夏威夷科技发展公司 (HTDC) 将该计划延长至2024年。该计划旨在通过早期采用加密货币来刺激经济机会,通过向加密货币发行人提供指导来保护消费者,并收集数据以制定加密货币立法。通过参与该计划,Gemini将继续为美国所有50个州的客户提供安全且受监管的加密生态系统入口。[2022/7/13 2:08:47]
如何审计加密密钥的使用情况?
从安全性和成本的角度来看,审计加密密钥的使用方式非常重要。如图1所示,我们可以启用CloudWatch,它将显示如何以及何时使用加密密钥。
如果我们误删了密钥(或被黑客入侵)会发生什么?
加密密钥最严重的问题之一是密钥在哪里被删除。恶意行为者都可以删除密钥。可设置的密钥删除时间最短为7天(最多为30天):
这种删除的延迟意味着日志将标识一个密钥将被删除,如果删除错误,则很有可能被捕获。必须记住,我们将无法解密由已删除的密钥加密的数据。
我不信任AWS,我能有自己的HSM吗?
虽然KMS使用HSM,但组织也可以使用CloudHSM集群创建自己的HSM。在KMS中创建一个密钥,然后将其存储在集群中:
我们是否限制了对管理和使用的访问?
加密密钥是皇冠上的宝石,访问云中的密钥可以访问敏感数据,或签署有效的交易。一个用例是分离密钥管理者和密钥用户。在本例中,我们可以定义密钥管理(KEY_ADMINISTRATOR)角色并限制对密钥使用的访问。这些密钥管理者可以执行创建、撤销、放置、获取、列出和禁用密钥的操作,例如:
然后,我们可以定义密钥的使用权限,例如使用KEY_WORKER角色。对该角色的操作可以是:
WORKER不能创建或删除密钥,而ADMINISTRATOR不能加密或解密数据。
总的来说,最小访问权限规则是其核心,其通过定义密钥管理和使用角色来简化用户访问。然后将用户添加到这些角色中。
我可以进行密钥轮换吗?
手动更新密钥并不是一件很好的事情,而且有些人可能可以访问以前的密钥。解决这个问题的一种方法是实现密钥轮换,即密钥每年自动更换。但是,如果我们使用以前使用的密钥进行了加密呢?KMS保留所有以前的密钥,并会根据需要使用它们。密钥轮换的使用记录在CloudWatch和CloudTrail上。
密钥管理基础设施是否符合PCIDSSLevel1、FIPS140-2和HIPAA?
许多系统的一个密钥元素是遵从合规标准。KMS符合PCIDSSLevel1、FIPS140-2、FedRAMP、HIPAA和其他定义。AWSKMS(密钥管理系统)加密模块与FIPS140-2Level2匹配,其中一些元素与Level3匹配——包括物理安全方面。
结论
规则很简单,而且是不需要信任的。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。