在Azure密钥库中包装密钥操作-对称密钥

Question

有人能解释一下为什么包键描述的粗体部分吗？

使用指定的密钥包装对称密钥。包装操作支持使用以前存储在Azure密钥库中的密钥加密对称密钥。只有存储在Azure密钥库中的对称密钥才需要包装操作，因为使用非对称密钥的保护可以使用密钥的公共部分执行。不对称密钥支持此操作，对于具有密钥引用但无法访问公钥材料的呼叫者来说，这是一种方便。此操作需要密钥/wrapKey权限。

AFAIK，Azure密钥库中的所有密钥都存储在HSM模块中。为什么密钥包装对对称密钥是必要的？在这种情况下‘保护’意味着什么？使用公钥加密数据？

如果HSM正在保护密钥库(使用其内置对称密钥)中的所有密钥，那么为什么需要像引用的那样加密对称密钥呢？

Answer 1

密钥包装是一类专门用于加密对称密钥的算法。

包裹的原因不是金库本身的安全性，而是钥匙离开金库后的安全性。

通常使用包装的方式是：

1. 客户端A请求WK = wrap(K)
2. 客户端A向客户端B发送WK
3. 一旦需要(立即，或在遥远的将来)，客户B向K = unwrap(WK)请求保险库，并使用K。

这个简短的例子展示了包装键的一些好处：

• 在传输过程中(从A发送到B)或存储(由B存储)时保护密钥
• 分配打开密钥的权限(客户端B必须拥有打开密钥的权限)
• 在已包装的密钥上设置生命周期(有些金库允许在已包装的对象上使用生命周期，或对其进行加密的密钥)

所有上述假设都假定客户端只存储已包装的密钥，而不存储解包装的结果。如果客户端B决定存储K本身，我们将重新使用一个普通的未包装密钥。