信封加密方式有什么优势?
信封加密方式,是一种加密手段,将加密数据的数据密钥封入信封中存储、传递和使用,不再使用用户主密钥直接加解密数据。
信封加密方式优势如下:
- 相对于KMS提供的另一种加密方式:KMS用户主密钥直接加密
使用KMS用户主密钥直接加密:是通过KMS界面使用在线工具加解密数据,或者调用KMS的API接口使用指定的用户主密钥直接加密、解密数据。
使用KMS用户主密钥直接加解密数据仅适用于不大于4KB的小数据加解密场景;而信封加密方式可以在本地对大量数据进行加解密。
信封加密方式加解密数据,只需要传输数据加密密钥到KMS服务端,无需通过网络传输大量数据。
- 相对于直接加解密的云服务
- 安全性
由云服务直接为用户加解密数据:通过因特网将敏感信息从客户手中传递到服务的过程中会存在诸多风险,例如:窃听、钓鱼。
信封加密方式:KMS通过使用硬件安全模块HSM保护密钥的安全,所有的用户密钥都由HSM中的根密钥保护,避免密钥泄露。
- 信任和可信证明
由云服务直接为用户加解密数据:信任和可信证明较难做。用户不一定信任云服务,愿意上传如此敏感的数据;云服务也难以证明自己不会误用和泄露这些数据。
信封加密方式:KMS对密钥的所有操作都会进行访问控制及日志跟踪,提供所有密钥的使用记录,满足审计和合规性要求。
- 性能、成本
由云服务直接为用户加解密数据:大量数据需要通过安全信道传递到服务端,加密后再返回给用户,这一过程,对用户服务的性能影响很大。另外,大量的移动数据会带来巨大的成本。
信封加密方式:可以通过KMS的密码运算API在线生成数据密钥,用离线数据密钥在本地加密大量数据。
- 安全性
密钥管理类 所有常见问题
- 什么是密钥管理?
- 什么是用户主密钥?
- 什么是默认密钥?
- 自定义密钥与默认密钥有什么区别?
- 什么是数据加密密钥?
- 为什么不能立即删除用户主密钥?
- 哪些云服务使用KMS加密数据?
- 华为云服务如何使用KMS加密数据?
- 信封加密方式有什么优势?
- 在KMS中创建的自定义密钥的个数是否有限制?
- 是否可以从KMS中导出用户主密钥?
- 如果自定义密钥被彻底删除,用户数据是否还可以解密?
- 如何使用在线工具加解密数据?
- 是否可以更新KMS管理的密钥?
- 在什么场景下推荐使用导入的密钥?
- 密钥材料被意外删除时如何处理?
- 默认密钥如何生成?
- 没有权限操作KMS,该如何处理?
- 如何修补OpenSSL以使用-id-aes256-wrap-pad包装非对称密钥?
- KMS支持的密钥算法类型
- 请求KMS异常,错误码401,应该如何处理?
- 调用encrypt-data接口,返回的密文和明文有什么关系?
more