密钥安全技术

密钥保护的作用就是防止人和机器窃取、未授权使用密钥。由于密钥始终在原始位置上保持完整，所以很难发现攻击，通常都是在发生事件后才能发现。而对密钥的保护也无非是软件和硬件层。

攻击有以下几种：

硬件侧信道攻击：

攻击者接近密钥设备，最普遍的则是基于硬件的侧信道攻击，通过测量硬件特征（比如功耗和噪声级别变化）来推断，功耗和噪声都会随着数据处理量发生变化。

软件侧信道攻击：

利用软件的侧信道提取关键信息，例如通过软件从cpu或缓存中获取关键信息。在虚拟化环境中，同一主机的两台不同VM（其中一台存储密钥），也可能会发生这种协同定位攻击。

软件攻击：

入侵保护密钥的机器，掌握root账号或者后门，这种危害最大，因为可以长期持续。例如进程注入，在合法密钥保护软件进程中插入恶意代码，提取私钥。

就现在的情况而言，数据中心和云中心的物理安全性都比较有保障，但计算和存储是共享的，因此软件攻击比物理攻击更值得关注。

这是最常见的，使用特别加固的设备来创建生成和存储密钥，在设备内部进行加密操作，防止密钥被泄漏。各大云厂商都有这种HSM的机制。

• 不可萃取性：

加密硬件提供了物理隔离的保证，物理上至少是专用加固机箱，防拆设置。逻辑上要保证密钥不能被导出，任何其他软件都不能在此系统运行。而这里则包括硬件安全模块、密钥管理系统、可信模块、智能卡令牌等等，这些密码模块都有国内外的认证标准可参考。

从历史上来看，智能卡和令牌是这里的薄弱环节，主要是低端设备容易被攻击。17年黑帽大会就展示了韩国公交卡侧信道攻击，可以成功的充值。（https://www.blackhat.com/docs/asia-17/materials/asia-17-Kim-Breaking-Korea-Transit-Card-With-Side-Channel-Attack-Unauthorized-Recharging.pdf）

• KEY使用控制：

硬件设备一般都强壮的访问控制，比如HSM，需要突破物理安全保护，更高级别的身份验证（比如quorum验证）。HSM、可信平台、智能卡管理系统也会提供审计日志。但仍然可以通过攻击对应的系统来获取密钥，解决这类问题需要检测和响应能力，但硬件加密方案很难做到。

• 敏捷性：

硬件方案主要问题就是缺乏灵活性，所以当硬件机制有安全漏洞的时候就比较麻烦了，而且由于硬件的更换升级困难，漏洞修复时间比较长，在替换之前，密钥是暴露的，这个影响就大了去了。

某国际大公司之前的加密芯片在17年出过ROCA漏洞，根源在RSA密钥生成算法的一个漏洞，攻击者可以从相关公钥推断出芯片生成的私钥，ROCA影响面很广，实际造成的后果是爱沙尼亚因此撤销了75万张身份证。

2015年也出现过PKCS#11 API漏洞，由于API问题，攻击者可以从HSM重提取密钥，从漏洞发现到补丁应用到现场HSM，暴露窗口至少几个星期。

• 信任：

硬件机制全面隔离了密钥，再加上测试和认证能够提供更强的安全信心。硬件的缺点是漏洞出现后的修复期很长，从根本上动摇了信任根，但从这些年的总体情况来说，除了一些不多的失误之外，高端HSM总体上安全性还不错，所以硬件方案的信任度也很高。

• 可用性：

现在我们看到很多云厂商把硬件加密模块改造的更适应云环境，但对一般公司来说，在敏捷性、灵活性、可伸缩性和自动化上还是不小的挑战。例如服务量突然爆发，自动化生命周期任务，都会造成成本问题，复杂性问题，导致难以实现。

而且硬件升级也是漫长和高成本过程，如果业务本身侧重于用户体验的话，这种情况下我相信大家宁可牺牲部分安全性。

安全性：四星

可用性：一星

软件密钥管理提高了可用性、敏捷性和多平台可用性，相对硬件而言简化了部署和维护，但这个安全机制并不足够强。

• 可萃取性：

软件的挑战是：在共享环境中保护密钥和平台不受损害。保护密钥是通过白盒机制、加密、混淆实现的，这些手段混淆了代码保证不被读取，并在应用上做了增强。但白盒也会被攻击，可以通过逆向以识别源代码。

• KEY使用控制：

和硬件方法一样，软件的方法也是提供基于角色访问控制，记录日志。但不考虑高级密钥的审计和控制。硬件设备不能被克隆，但软件方法没有这个机制，代码混淆和白盒加密不能防止软件被复制，攻击者拿到了代码，破解只是迟早的事情。

• 敏捷性：

软件方法当然敏捷，简化了bug和漏洞的修复时间，也能够容易的支持新加密算法。

• 信任：

虽然整个业界都在大力开发，但目前来看还很弱。

• 可用性：

灵活可伸缩，可在多平台运行。所以可以在BYOD、云环境很好的结合。

安全性：一星

可用性：五星

• 可萃取性：

理论上，TEE的任何数据都不应被提取，但TEE和其他软件一起在通用处理器运行，因此很容易通过共享资源的软件侧信道进行密钥窃取。攻击上包括基于缓存、投机性执行、定时攻击。

在密钥保护应用中的“侧信道验证”可以降低这种风险，比如不管密钥值是多少，确保加密算法的运行时间是常数，可以防止定时侧信道攻击。但这种方法需要长期对抗，因为还不知道有多少攻击方式，也不知道有多少未知侧信道。

最近出现的问题是去年的熔毁和幽灵，这两个漏洞凸显了安全面临的巨大挑战，几乎影响了过去20年所有的微处理器。幽灵利用了“推测执行”的方法，由于低权限应用和内核访问内存没有很好分开，因此获得TEE中的数据访问权。

这种修复就比较复杂，而且在有的情况下几乎不可能修复。虽然目前还没有报道过谁因此受害，但随着TEE流行，这类攻击不可避免。但最麻烦的是，如果发生泄漏很难发现，这些攻击在日志中没有任何痕迹。

漏洞不止熔毁和幽灵，还有其他，国外有篇论文提到了某厂芯片的诸多问题，为避免引起争议就不展开了。

• KEY使用控制：

TEE的KEY管理还是个新课题，当前方法包括访问控制、审计日志和系统监视UI，但这些技术怎样发展还有待观察。在技术层面，添加高级密钥管理功能应该很简单，因为TEE是个灵活飞地，可以运行任何代码。

• 敏捷性：

TEE更新比较容易，因此具有一定灵活性。但TEE在某些方面又不敏捷，例如某品牌天生依赖AES128和ECC，将来如果有后量子加密，要么升级固件，要么就需要替换。在不同TEE的混合云下，则要在每个平台上进行单独开发和维护，从而降低灵活性。

• 信任：

TEE提供了很多安全特性，比如代码加密和完整性验证，但仍不能证明边信道攻击可以防御，因此信任度相对来说不是最高，尤其在一些高度敏感数据加密上。

• 可用性：

TEE比软件密钥保护具有更高级别安全性，但这种实现受制于对处理器的支持，所以不能适用所有环境。而且当TEE被打包成现场物理设备时，就不具备虚拟化提供的弹性、可伸缩和自动化。

安全性：二星

可用性：三星

• 不可萃取性：

MPC的密钥保护很强大，而且有数学保证：在不破坏密钥机器的情况下，密钥不会被破坏。只有在MPC和机器同时被破坏才会收到威胁，因此提供了更高的安全性。MPC依赖节点之间的强分离，这种分离有多种实现。

证书隔离：每个节点有不同凭证，甚至不同的管理员。

设备隔离：节点在不同机器上，可以实现强分离。也可以在地理上分散，例如不同国家，以防止某些政治干涉。

软件堆栈隔离：每个节点使用不同的软件堆栈。节点在不同平台上，使用不同的操作系统、开发语言进行防御。

除了节点之间的隔离外，还可以使用安全措施防止关键节点共享。例如在TEE中生成加密密钥，且证明另一个节点的完整性。

• KEY使用控制：

基于MPC方法也支持访问控制、审计日志和系统监视。但在端点加密密钥的能力是MPC独有的，因为密钥操作在端点和服务器的节点之间执行，从而能够跟踪服务器端的所有操作。MPC可以有更灵活的授权结构，包括quorum的仲裁机制。

类似的，MPC密钥管理可以用于客户端证书，从而防止他们暴露和窃取。

MPC方法的一个好处是可任意节点立即撤销密钥，只要简单的删除相关密钥共享就可以使密钥无用。 这个方法可以在响应时快速止血，或按照GDPR立刻实现个人数据遗忘权。

• 敏捷性：

MPC是软件方法，更新可以快速实现，且无需停机。另外理论和实践上也表明，对各种加密算法（包括后量子和其他高级算法）都是一个可行方案。

• 信任：

MPC还在早期阶段，对密钥的保护在数学上也有严格证明的安全性，再加上节点之间的强隔离，MPC是未来高可信方案。

MPC还有一个安全特点，当你对密钥完全控制时，密钥可以在任何基础设上使用，在共有云上，节点可以和服务于应用集成，另一个节点可以放在其他位置例如私有云，这个功能让信任变得不那么重要，因为公有云无法拿到完整密钥。

• 可用性：

MPC可以在任何环境运行，包括虚拟机和容器，可以支持广泛应用场景，包括新密码学和物联网。

安全性：四星

可用性：五星

每个方案都有不同的安全性和可用性特点，同时也要考虑实际场景。

需要考虑的点包括：

1. IT基础设施的范围是什么，云、数据中心和终端？

2. 要保护的对象是谁，敏感级别怎样，物理位置在哪。

3. 合规要求有哪些？

4. 厂商支持哪些？

5. 未来有什么IT结构变化，比如全球化、云迁移、物联网、BYOD。

通过这些问题来选择自己的保护方法，实现最优匹配。