关键安全参数
关键安全参数(英语:Critical security parameter,缩写:CSP[1])是密码学上的名词,指由使用者或系统定义,用在加密模组上的重要资讯。关键安全参数可能是用来处理加密功能的(例如金钥),也有可能是身份验证资料(例如密码),若公开或修改关键安全参数,可能会破坏加密模组的安全性,或是破坏模组所保护资料的安全性。[2]
范例
[编辑]以下为关键安全参数的例子:[2]
加密金钥
[编辑]加密金钥(encryption keys)在密码学中用来加密、解密资料。金钥看似随机,其实是以有逻辑的方式演算,因此拥有正确的金钥才能解密被加密的资料。只要金钥够复杂,第三方就不太可能暴力破解密码。[3]对称式加密中,同一个金钥用于加密和解密资料,加密者和解密者得共用同一个金钥。因为只有一个金钥,对称式加密速度更快、计算效率高。然而,用这种加密方式的话,分发和管理密钥有安全风险,得保证金钥不被未经授权的人员获取;非对称加密有两个密钥:公开金钥和私密金钥。公开金钥是公开的,任何人都能用来加密资料,只有对应的私密金钥才能解密。私密金钥必须保密,只能由资料的所有者持有。非对称加密的安全性更强,即使公开金钥被他人获取,也无法推算出私密金钥。[4]
数位凭证
[编辑]数位凭证(digital certificates)用于建立实体(个人、组织或系统等)的信任,验证其真实性,例如公开金钥、数位签章和身份资讯等关键安全参数。数位凭证是许多网路传输协定的关键,例如,在SSL/TLS通讯协定中,数位凭证建立加密连线、验证伺服器的真实性。数位凭证也可用于签署和验证电子邮件讯息,以确认寄件人身份。此外,数位凭证也可以用来签署程式码,确保软体完整和来源真实。[5]如果数位凭证被入侵、滥用,攻击者可能进行中间人攻击,冒充合法实体或窃取敏感资讯。[2]
密码和身份验证权杖
[编辑]密码和身份验证权杖(passwords and authentication tokens)验证使用者身份的凭证,授予使用者存取系统、资源的权限。如果密码或权杖遭到破坏或被第三方入侵,攻击者可以未经授权存取敏感资料或系统。[2]权杖可以是软体组件或硬体装置,让使用者能安全登入且保持登入状态。使用强密码和多因素验证(MFA)可提升权杖安全性。[6]
安全配置参数
[编辑]安全配置参数(secure configuration parameters)用来确认系统或应用程式的安全设定,比如防火墙规则、存取控制表和安全策略等。正确的配置参数可以防范安全漏洞和攻击。如果配置不当或暴露参数,会导致系统容易被攻击或配置错误。[2]
安全杂凑
[编辑]安全杂凑(secure hashes)是一种杂凑函式,将任意长度的资料转换为固定长度的杂凑值。杂凑值是根据输入资料计算出来的唯一字串。安全杂凑的特色是无法从杂凑值直接推导出原始资料,即使输入资料有小变化,杂凑值也会有很大的差异。[7]安全杂凑常用在验证资料完整性、数位签章和密码储存。例如,验证资料完整性时,使用者可以计算原始资料的杂凑值,将其与接收到的资料杂凑值比对,确认资料是否在传输过程中变化。[8]应用在数位签章时,杂凑函式用来产生杂凑值,然后再用私密金钥加密杂凑值,产生数位签章。如此一来,任何人都可以使用相应的公开金钥验证数位签名的真实性,也能确认原始资料是否遭到窜改。[2][9]
参考资料
[编辑]- ^ FIPS PUB 140-2: Security Requirements for Cryptographic modules (PDF). 国家标准技术研究所. 2002-12-03 [2021-12-10]. (原始内容存档 (PDF)于2017-09-18).
- ^ 2.0 2.1 2.2 2.3 2.4 2.5 What is Critical Security Parameter. Aicur.net. 2023-06-05 [2023-07-16]. (原始内容存档于2023-07-16) (英国英语).
- ^ 什麼是加密?| 加密類型. CloudFlare. [2023-07-17]. (原始内容存档于2023-07-16) (中文(繁体)).
- ^ 對稱加密vs非對稱加密. Binance Academy. 2019-04-22 [2023-07-16]. (原始内容存档于2023-07-16) (中文(繁体)).
- ^ 數位憑證 - Windows drivers. Microsoft. 2023-06-15 [2023-07-16]. (原始内容存档于2023-07-16) (中文(台湾)).
- ^ Mizrachi, Aviad. What is an Authentication Token? A Detailed Review. Frontegg. 2021-11-11 [2023-07-16]. (原始内容存档于2023-07-16) (美国英语).
- ^ What Is Hashing? [Step-by-Step Guide-Under Hood Of Blockchain]. Blockgeeks. 2017-08-06 [2023-07-16]. (原始内容存档于2023-07-16) (加拿大英语).
- ^ Digital Forensics: Hashing for Data Integrity. MCSI Library. [2023-07-16]. (原始内容存档于2023-07-16) (英语).
- ^ Pigeon, Daniel. Accelerating Digital Signatures With Client-Side Hash Signing. Garantir. 2020-07-17 [2023-07-16]. (原始内容存档于2023-07-16) (美国英语).