Kerckhoff’s principle: An ideal crypto-system should be secure even if everything about the system is exposed to the public except the secret key.
密钥管理系统(KMS)是一个非常复杂的管理体系,而它往往决定了你设计的加密系统的安全性程度,毕竟,算法都是公开的,而真正保密的就是所使用的密钥。而密钥管理系统(KMS)的主要功能就是负责管理密钥的全生命周期的,包括密钥的创建、启用、停用、禁用和删除等,并能对密钥的操作进行审计。
常用的密钥管理系统
- 公有云环境
如果使用公有云,则每一个云平台基本上都会提供密钥管理系统,它们不仅成本低廉,而且有专人负责系统的运维,使用起来非常方便。
如果对密钥的管理有更高的要求,或有合规方面的要求,则可以使用硬件方式提供的密钥管理系统。和普通的软件级密钥管理系统不同,它的密钥的保存和使用都是在硬件上处理的,不仅运算非常快速,而且安全性非常高。在国内,这样的硬件设备有时也被称为加密机。
- 私有云或本地环境
在私有云或本地环境中,可以使用 Harshicorp 公司著名的开源密钥管理系统 Vault 来实现,该软件也提供诸多与加解密和机密信息保存的功能,非常强大。
当然,为了更高的安全性,也可以购买硬件级的加密机来实现密钥管理功能。
使用 KMS 管理示例 - GCP
Tink 的官方文档中,提供了一个演示示例,展示的是一个使用自家云产品 GCP 实现密钥管理的过程。代码清单在下面,代码比较长,如果你不想看得话,那我在这里介绍一下大致的流程:
- 创建一个 KeyHandle,它是用来演示针对 KeyHandle 中密钥的加解密过程;
- 从 GCP 获取主密钥(master key);
- 创建一个 MemReaderWriter,它使用内存保存 KeyHandle,主要是用来演示;
- 加密并保存 KeyHandle 至 MemReaderWriter;
- 读取 KeyHandle 后,比较是否和保存前一致。
代码如下,比较长:
package main
import (
"fmt"
"log"
"github.com/golang/protobuf/proto"
"github.com/google/tink/go/aead"
"github.com/google/tink/go/core/registry"
"github.com/google/tink/go/integration/gcpkms"
"github.com/google/tink/go/keyset"
)
const (
keyURI = "gcp-kms://..."
credentialsPath = "/mysecurestorage/..."
)
func main() {
// Generate a new key.
kh1, err := keyset.NewHandle(aead.AES128GCMKeyTemplate())
if err != nil {
log.Fatal(err)
}
// Fetch the master key from a KMS.
gcpClient := gcpkms.NewClientWithCredentials(keyURI, credentialsPath)
registry.RegisterKMSClient(gcpClient)
backend, err := gcpClient.GetAEAD(keyURI)
if err != nil {
log.Fatal(err)
}
masterKey, err = aead.NewKMSEnvelopeAEAD(*aead.AES256GCMKeyTemplate(), backend)
if err != nil {
log.Fatal(err)
}
// An io.Reader and io.Writer implementation which simply writes to memory.
memKeyset := &keyset.MemReaderWriter{}
// Write encrypts the keyset handle with the master key and writes to the
// io.Writer implementation (memKeyset). We recommend you encrypt the keyset
// handle before persisting it.
if err := kh1.Write(memKeyset, masterKey); err != nil {
log.Fatal(err)
}
// Read reads the encrypted keyset handle back from the io.Reader implementation
// and decrypts it using the master key.
kh2, err := keyset.Read(memKeyset, masterKey)
if err != nil {
log.Fatal(err)
}
if !proto.Equal(kh1.Keyset(), kh2.Keyset()) {
log.Fatal("key handlers are not equal")
}
fmt.Println("Key handlers are equal.")
}
其它可用 KVM
目前,Tink 除了支持上面的 GCP 实现 KeyHandle 的保存外,还可以使用亚马逊 AWS 的 KMS。或者,利用 Vault 在本地自建 KMS。
大体上的思路都不是很难,就是从 KMS 上获取用来解密 KeyHandle 的主密钥。
还记得前面我们通过 aead 自己创建的主密钥(master key)的过程么?
unc main() {
// 通过密钥生成 AEAD
masterKey := []byte("1234567890123456")
masterAEAD, _ := subtle.NewAESGCM(masterKey)
// 打开待写入的文件
masterFile, _ := os.OpenFile("tmp.txt", os.O_CREATE|os.O_WRONLY, 0644)
writer := keyset.NewJSONWriter(masterFile)
// 生成一个新的 Keyset
kh, err := keyset.NewHandle(aead.AES128GCMKeyTemplate())
if err != nil {
log.Fatal(err)
}
// 打印并保存 Keyset,Keyset 以加密的 JSON 格式保存
fmt.Println(kh.String())
kh.Write(writer, masterAEAD)
}
上面的过程中,只是我们自己使用 subtle 包中的 NewAESGCM() 来创建加密 KeyHandle 的密钥。
而通过 KMS 管理密钥的好处就是可以将主密钥(master key)保存到一个安全的地方,这个安全的地方可以提供密钥保存、认证授权、访问管理、审计等一系列的功能,极大的增强了该密钥的安全性。
如果你使用其它的密钥管理系统 ,也可以自己来实现一个,这个过程并不难,反正 Tink 也是开源的。
总结
密钥管理系统的最核心的功能就是确保密钥的安全性,主要体现在对密钥的保管和使用上,并针对密钥的全生命周期进行管理。
一般来说,云平台都会提供以软件或硬件方式实现的密钥管理系统,而本地环境也可以使用 Vault 或购买硬件级的加密机来实现。而到底是使用软件解决方案还是硬件解决方案,可以根据你需要达到的安全级别来决定。
