什么是KEK以及如何用于密钥共享？

Question

我试图了解密钥是如何在10 10Gbit无源光网络上共享的，我发现密钥是由ONUs或OLT生成的，并在与AES-ECB与KEK共享之后生成。

这个密钥加密密钥是什么，如何与AES一起共享密钥？谢谢

Answer 1

密钥加密密钥( KEK )仅仅是用于加密密钥的密钥。加密的密钥通常是具有特定含义的密钥，例如域特定密钥。也可能是加密的密钥具有更短的生存期，例如会话密钥。

KEK可以与欧洲央行模式结合使用，因为加密的密钥材料不能与随机密钥区分开来。这是少数几个欧洲央行加密不会泄露信息的地方之一。请注意，使用欧洲央行加密结构化信息是一个非常糟糕的主意；这包括大多数非对称密钥，因为它们通常由多个编码组件组成。

目前，我建议一个方案，如AES-SIV或AES-GCM.这将创建一个随机密文，如果密钥只相差一位。计算出的SIV模式下的合成IV作为认证标签。这意味着可以检测到键值的任何更改(有意或无意)。注意，仍然有可能交换加密的密钥值--这是包装算法本身无法提供保护的东西。

密钥加密有时也称为包装。然后，KEK被称为包装密钥，而受保护的密钥当然称为包装密钥。