关键安全参数

密碼學名詞

关键安全参数(英语:Critical security parameter,缩写:CSP[1])是密码学上的名词,指由用户系统定义,用在加密模块上的重要资讯。关键安全参数可能是用来处理加密功能的(例如密钥),也有可能是身份验证数据(例如密码),若公开或修改关键安全参数,可能会破坏加密模块的安全性,或是破坏模块所保护数据的安全性。[2]

示例

以下为关键安全参数的例子:[2]

密钥

加密密钥encryption keys)在密码学中用来加密、解密数据。密钥看似随机,其实是以有逻辑的方式演算,因此拥有正确的密钥才能解密被加密的数据。只要密钥够复杂,第三方就不太可能暴力破解密码。[3]对称式加密中,同一个密钥用于加密和解密数据,加密者和解密者得共享同一个密钥。因为只有一个密钥,对称式加密速度更快、计算效率高。然而,用这种加密方式的话,分发和管理密钥有安全风险,得保证密钥不被未经授权的人员获取;非对称加密有两个密钥:公开密钥密钥。公开密钥是公开的,任何人都能用来加密数据,只有对应的密钥才能解密。密钥必须保密,只能由数据的所有者持有。非对称加密的安全性更强,即使公开密钥被他人获取,也无法推算出密钥。[4]

数字证书

数字证书digital certificates)用于建立实体(个人、组织或系统等)的信任,验证其真实性,例如公开密钥数码签名和身份资讯等关键安全参数。数字证书是许多网络传输协议的关键,例如,在SSL/TLS通讯协议中,数字证书建立加密连线、验证伺服器的真实性。数字证书也可用于签署和验证电邮消息,以确认寄件人身份。此外,数字证书也可以用来签署代码,确保软件完整和来源真实。[5]如果数字证书被入侵、滥用,攻击者可能进行中间人攻击,冒充合法实体或窃取敏感资讯。[2]

密码和身份验证令牌

密码和身份验证令牌passwords and authentication tokens)验证用户身份的认证,授予用户访问系统、资源的权限。如果密码或令牌遭到破坏或被第三方入侵,攻击者可以未经授权访问敏感数据或系统。[2]令牌可以是软件组件或硬件装置,让用户能安全登录且保持登录状态。使用强密码和多因素验证(MFA)可提升令牌安全性。[6]

安全配置参数

安全配置参数(secure configuration parameters)用来确认系统或应用程式的安全设置,比如防火墙规则、访问控制表和安全策略等。正确的配置参数可以防范安全漏洞和攻击。如果配置不当或暴露参数,会导致系统容易被攻击或配置错误。[2]

安全散列

安全散列(secure hashes)是一种散列函数,将任意长度的数据转换为固定长度的散列值。散列值是根据输入数据计算出来的唯一字符串。安全散列的特色是无法从散列值直接推导出原始数据,即使输入数据有小变化,散列值也会有很大的差异。[7]安全散列常用在验证数据完整性数码签名和密码存储。例如,验证数据完整性时,用户可以计算原始数据的散列值,将其与接收到的数据散列值比对,确认数据是否在传输过程中变化。[8]应用在数码签名时,散列函数用来产生散列值,然后再用密钥加密散列值,产生数码签名。如此一来,任何人都可以使用相应的公开密钥验证数码签名的真实性,也能确认原始数据是否遭到窜改。[2][9]

参考资料

  1. ^ FIPS PUB 140-2: Security Requirements for Cryptographic modules (PDF). 国家标准技术研究所. 2002-12-03 [2021-12-10]. (原始内容存档 (PDF)于2017-09-18). 
  2. ^ 2.0 2.1 2.2 2.3 2.4 2.5 What is Critical Security Parameter. Aicur.net. 2023-06-05 [2023-07-16]. (原始内容存档于2023-07-16) (英国英语). 
  3. ^ 什麼是加密?| 加密類型. CloudFlare. [2023-07-17]. (原始内容存档于2023-07-16) (中文(繁体)). 
  4. ^ 對稱加密vs非對稱加密. Binance Academy. 2019-04-22 [2023-07-16]. (原始内容存档于2023-07-16) (中文(繁体)). 
  5. ^ 數位憑證 - Windows drivers. Microsoft. 2023-06-15 [2023-07-16]. (原始内容存档于2023-07-16) (中文(台湾)). 
  6. ^ Mizrachi, Aviad. What is an Authentication Token? A Detailed Review. Frontegg. 2021-11-11 [2023-07-16]. (原始内容存档于2023-07-16) (美国英语). 
  7. ^ What Is Hashing? [Step-by-Step Guide-Under Hood Of Blockchain]. Blockgeeks. 2017-08-06 [2023-07-16]. (原始内容存档于2023-07-16) (加拿大英语). 
  8. ^ Digital Forensics: Hashing for Data Integrity. MCSI Library. [2023-07-16]. (原始内容存档于2023-07-16) (英语). 
  9. ^ Pigeon, Daniel. Accelerating Digital Signatures With Client-Side Hash Signing. Garantir. 2020-07-17 [2023-07-16]. (原始内容存档于2023-07-16) (美国英语).