數(shù)字密鑰是建立安全網(wǎng)絡(luò)的核心概念，在數(shù)據(jù)中心應(yīng)用中與戰(zhàn)術(shù)戰(zhàn)場邊緣一樣重要。雖然加密（crypto）對不同的功能使用對稱和非對稱密鑰，但在本專欄中，我們將重點介紹非對稱加密，其中使用不同的密鑰進行鎖定和解鎖。

非對稱加密方法具有許多優(yōu)點，例如準確驗證誰發(fā)送了特定消息。非對稱加密最常見的用途是公鑰基礎(chǔ)設(shè)施 （PKI） 應(yīng)用程序。在非對稱加密中，有公鑰和私鑰。公鑰可以自由分發(fā)，用于驗證實體（例如個人或服務(wù)器）的身份。私鑰需要保持私有，以防止該實體被模擬。

公鑰和私鑰由證書頒發(fā)機構(gòu) （CA） 提供。實體創(chuàng)建證書簽名請求后，將其傳遞給 CA。驗證請求者的身份后，CA 將向?qū)嶓w頒發(fā)其公鑰和私鑰作為 X.509 證書。

CA 可以是主要的互聯(lián)網(wǎng)公司，例如威瑞信或 GoDaddy，也可以是由組織管理的服務(wù)器。每個操作系統(tǒng)都有一個證書存儲，其中記錄了受信任的 CA;微軟，蘋果，RedHat和其他公司已經(jīng)審查了主要的CA，但組織可以從此列表中添加或刪除CA。在典型的美國陸軍系統(tǒng)上，所有互聯(lián)網(wǎng) CA 都將被刪除，并替換為一組國防部 （DoD） 批準的 CA。

硬件安全模塊 （HSM） 是一種保護加密密鑰材料和/或加速加密操作的設(shè)備。這些設(shè)備通過 PCIe 或 USB 以物理方式或通過網(wǎng)絡(luò)邏輯連接到 CA。HSM 為證書頒發(fā)機構(gòu)等應(yīng)用程序或用于文件或數(shù)據(jù)庫加密的應(yīng)用程序提供加密安全密鑰生成和安全密鑰存儲以及加密服務(wù)。這些應(yīng)用程序使用行業(yè)標準（以及特定于供應(yīng)商）、庫和 API 進行集成。使用 HSM 可以確保在發(fā)生服務(wù)器泄露時，用于保護重要信息的關(guān)鍵材料不會受到損害，這有助于組織和機構(gòu)降低其運營風(fēng)險。

使用 HSM 可防止意外復(fù)制和分發(fā)加密密鑰，從而防止加密密鑰處理不佳。它通過安全地將加密密鑰存儲在硬件上來防御遠程攻擊并消除私鑰的遠程提取。在SWaP（尺寸、重量和功率）至關(guān)重要的情況下，傳統(tǒng)的HSM可能會占用比完成任務(wù)所需的更多空間。

小型 YubiHSM 2 器件使用經(jīng)過驗證的安全元件、廣泛的加密功能、現(xiàn)代算法和密鑰長度實現(xiàn)安全的密鑰存儲和操作。它還為密鑰管理和密鑰使用提供基于角色的訪問控制，從而可以控制使用密鑰執(zhí)行哪些操作以及由誰執(zhí)行。防篡改設(shè)備采用低功耗納米外形封裝，可網(wǎng)絡(luò)共享。

這種基于 USB 的設(shè)備通過 M of N 包裝密鑰備份和恢復(fù)提供了額外的控制和密鑰材料層，這需要多方將他們的密鑰部分放在一起進行操作。它可以與各種應(yīng)用程序集成，包括 CA、VPN 解決方案、文件系統(tǒng)和數(shù)據(jù)庫加密、通過 YubiHSM KSP、PKCS#11 和本機庫的接口。它還通過留下可驗證審計跟蹤的操作為用戶提供防篡改的審計日志記錄，所有這些都經(jīng)過 NIST 驗證，符合 FIPS140-2 級別 3。

對于通常不需要高容量HSM的戰(zhàn)術(shù)硬件，可以簡單地移除較大的HSM并替換為YubiHSM2，從而有效地釋放系統(tǒng)中的兩個插槽。然后，這些插槽可用于添加對另一個網(wǎng)絡(luò)的支持，而無需擴展到第二種情況。

這種超小型HSM的一些首批應(yīng)用已部署在NSA批準的機密商業(yè)解決方案（CSfC）解決方案中，這些解決方案使用兩層商業(yè)加密，例如PacStar安全無線指揮所（SWCP），這是美國陸軍項目經(jīng)理戰(zhàn)術(shù)網(wǎng)絡(luò)（PM TN）注冊的WLAN指揮所系統(tǒng)。該系統(tǒng)包括SIPRnet和NIPRnet（綠色）網(wǎng)絡(luò)。

審核編輯：郭婷