數(shù)字密鑰是建立安全網(wǎng)絡(luò)的核心概念，在數(shù)據(jù)中心應(yīng)用中與戰(zhàn)術(shù)戰(zhàn)場邊緣一樣重要。雖然加密（crypto）對(duì)不同的功能使用對(duì)稱和非對(duì)稱密鑰，但在本專欄中，我們將重點(diǎn)介紹非對(duì)稱加密，其中使用不同的密鑰進(jìn)行鎖定和解鎖。

非對(duì)稱加密方法具有許多優(yōu)點(diǎn)，例如準(zhǔn)確驗(yàn)證誰發(fā)送了特定消息。非對(duì)稱加密最常見的用途是公鑰基礎(chǔ)設(shè)施 （PKI） 應(yīng)用程序。在非對(duì)稱加密中，有公鑰和私鑰。公鑰可以自由分發(fā)，用于驗(yàn)證實(shí)體（例如個(gè)人或服務(wù)器）的身份。私鑰需要保持私有，以防止該實(shí)體被模擬。

公鑰和私鑰由證書頒發(fā)機(jī)構(gòu) （CA） 提供。實(shí)體創(chuàng)建證書簽名請(qǐng)求后，將其傳遞給 CA。驗(yàn)證請(qǐng)求者的身份后，CA 將向?qū)嶓w頒發(fā)其公鑰和私鑰作為 X.509 證書。

CA 可以是主要的互聯(lián)網(wǎng)公司，例如威瑞信或 GoDaddy，也可以是由組織管理的服務(wù)器。每個(gè)操作系統(tǒng)都有一個(gè)證書存儲(chǔ)，其中記錄了受信任的 CA;微軟，蘋果，RedHat和其他公司已經(jīng)審查了主要的CA，但組織可以從此列表中添加或刪除CA。在典型的美國陸軍系統(tǒng)上，所有互聯(lián)網(wǎng) CA 都將被刪除，并替換為一組國防部 （DoD） 批準(zhǔn)的 CA。

硬件安全模塊 （HSM） 是一種保護(hù)加密密鑰材料和/或加速加密操作的設(shè)備。這些設(shè)備通過 PCIe 或 USB 以物理方式或通過網(wǎng)絡(luò)邏輯連接到 CA。HSM 為證書頒發(fā)機(jī)構(gòu)等應(yīng)用程序或用于文件或數(shù)據(jù)庫加密的應(yīng)用程序提供加密安全密鑰生成和安全密鑰存儲(chǔ)以及加密服務(wù)。這些應(yīng)用程序使用行業(yè)標(biāo)準(zhǔn)（以及特定于供應(yīng)商）、庫和 API 進(jìn)行集成。使用 HSM 可以確保在發(fā)生服務(wù)器泄露時(shí)，用于保護(hù)重要信息的關(guān)鍵材料不會(huì)受到損害，這有助于組織和機(jī)構(gòu)降低其運(yùn)營風(fēng)險(xiǎn)。

使用 HSM 可防止意外復(fù)制和分發(fā)加密密鑰，從而防止加密密鑰處理不佳。它通過安全地將加密密鑰存儲(chǔ)在硬件上來防御遠(yuǎn)程攻擊并消除私鑰的遠(yuǎn)程提取。在SWaP（尺寸、重量和功率）至關(guān)重要的情況下，傳統(tǒng)的HSM可能會(huì)占用比完成任務(wù)所需的更多空間。

小型 YubiHSM 2 器件使用經(jīng)過驗(yàn)證的安全元件、廣泛的加密功能、現(xiàn)代算法和密鑰長度實(shí)現(xiàn)安全的密鑰存儲(chǔ)和操作。它還為密鑰管理和密鑰使用提供基于角色的訪問控制，從而可以控制使用密鑰執(zhí)行哪些操作以及由誰執(zhí)行。防篡改設(shè)備采用低功耗納米外形封裝，可網(wǎng)絡(luò)共享。

這種基于 USB 的設(shè)備通過 M of N 包裝密鑰備份和恢復(fù)提供了額外的控制和密鑰材料層，這需要多方將他們的密鑰部分放在一起進(jìn)行操作。它可以與各種應(yīng)用程序集成，包括 CA、VPN 解決方案、文件系統(tǒng)和數(shù)據(jù)庫加密、通過 YubiHSM KSP、PKCS#11 和本機(jī)庫的接口。它還通過留下可驗(yàn)證審計(jì)跟蹤的操作為用戶提供防篡改的審計(jì)日志記錄，所有這些都經(jīng)過 NIST 驗(yàn)證，符合 FIPS140-2 級(jí)別 3。

對(duì)于通常不需要高容量HSM的戰(zhàn)術(shù)硬件，可以簡單地移除較大的HSM并替換為YubiHSM2，從而有效地釋放系統(tǒng)中的兩個(gè)插槽。然后，這些插槽可用于添加對(duì)另一個(gè)網(wǎng)絡(luò)的支持，而無需擴(kuò)展到第二種情況。

這種超小型HSM的一些首批應(yīng)用已部署在NSA批準(zhǔn)的機(jī)密商業(yè)解決方案（CSfC）解決方案中，這些解決方案使用兩層商業(yè)加密，例如PacStar安全無線指揮所（SWCP），這是美國陸軍項(xiàng)目經(jīng)理戰(zhàn)術(shù)網(wǎng)絡(luò)（PM TN）注冊(cè)的WLAN指揮所系統(tǒng)。該系統(tǒng)包括SIPRnet和NIPRnet（綠色）網(wǎng)絡(luò)。

審核編輯：郭婷