“关键材料”一词的含义

Question

我正在阅读我的客户端的规范，这些规范集中在安全性这个主题上。在这些规范中，关键材料一词已多次出现。

我用谷歌来寻找这个词的意思。不幸的是，很少有帖子解释这意味着什么。

关键材料和关键材料之间的区别是什么？

Answer 1

关键材料是“数学”键，而不是关于键的元数据，例如键类型、它在数据库中的名称、它的使用策略等等。

在密钥管理的上下文中，特别是在操纵加密密钥的编程接口中，密钥一词可能意味着多种事情。它可以引用密码计算中使用的实际字节或数字:这是关键材料。它还可以引用名称(或标签、标识符、索引、…)。密钥存储数据库中的加密密钥。它可以引用系统中的对象，该对象支持“加密”和“解密”等请求，并且可能具有相关的元数据，如密钥类型(“这是AES密钥”)和使用策略(“此密钥只能用于AES-GCM，仅在星期二使用，只有具有Grand Vizir特权的用户使用”)。

在信息安全的背景下，关键材料是密钥的一个方面，需要特别保密的存储。通常，关于键的元数据的敏感性很低，可以用普通的预防措施来存储、操作和显示。密钥材料(公钥除外)更敏感，需要额外的预防措施:避免将副本存储在缓存中，在查看或提取之前需要额外的身份验证，拒绝复制到未加密的存储，等等。

例如，谷歌目前对我来说最热门的“关键材料”是“进口AWS密钥管理服务的关键材料”。

AWS KMS客户主密钥(CMK)是主密钥的逻辑表示形式。除了CMK标识符和其他元数据外，CMK还包含用于加密和解密数据的关键材料。

当您在AWS中创建CMK时，您可以选择让AWS随机生成密钥材料，或者导入您自己的密钥材料。在这两种情况下，您都会将元数据(例如标识符)作为参数传递给键创建请求。

另一个例子：PKCS#11没有始终如一地使用“关键材料”这个术语，但是它在关键对象上下文中使用它(没有正式的定义)。对于RSA私钥，密钥材料由(RSA特有的)属性模数、公共指数、私有指数等组成。对于密匙，密钥材料是一个PKCS#11称为“键值”的单字节数组。其他关键属性，如密钥类型、开始日期和结束日期、使用策略“派生”、“加密”、“验证”等等，都是关键元数据，而不是关键材料。

如果您有一个包含解密密钥的智能卡，并且您知道允许您使用智能卡的PIN，那么您可以访问该密钥，这意味着您可以将该密钥用于其预定用途。但是，除非智能卡被配置为允许提取密钥，否则您无法访问密钥材料本身:只有智能卡才有密钥材料。

Answer 2

在缺少上下文的情况下，要给出一个明确的答案是不可能的，但我相信我可以从我自己的密码学相关文献讲座中提供一些有用的信息。

我相信大多数人都明白，当密钥和密钥材料之间存在差异时，前者指的是一个给定格式的密码密钥，而后者是指一个密码软件可以很容易使用的密码密钥，而后者要么是指密钥，要么是广义意义上的密钥，或者是数据，例如密码、共享秘密、伪随机密钥或真正随机的密钥。密钥材料也可能指在特定系统中使用的一组相关密钥。

信息安全堆栈交换的这个问题也可能被证明是有用的。