不管喜歡與否,我們都正在轉向公共云。為什么呢?因為這樣構建信息系統的成本通常要低得多,我們就不必擔心在硬件上的投資。
KMS(密鑰管理存儲)
在AWS云中,我們使用KMS(密鑰管理存儲)來創建密鑰(圖1),然后可以使用密鑰來加密/解密數據、簽名/驗證簽名、導出數據密鑰和生成/驗證MAC(消息身份驗證碼)。
圖1:AWSKMS
總的來說,我們有AWS管理的密鑰(例如Lambda服務)、客戶管理的密鑰(這些是由客戶創建和管理的)和自定義密鑰存儲(這些是客戶完全控制密鑰的密鑰存儲)。
Lifeform將向早期用戶發放LFT代幣空投,已完成快照:7月31日消息,視覺DID基建提供商Lifeform發推稱,在區塊高度30342850(BSC)和17787821(ETH)為符合LFT代幣空投條件的地址拍攝快照。此次代幣空投將是對Lifeform早期用戶的獎勵。[2023/7/31 16:09:08]
AWS可以使用哪些密鑰類型?
可以將密鑰用于ECS(計算)、EBS和S3(存儲)以及一系列其他服務。總的來說,我們使用對稱密鑰或RSA密鑰對來進行加密和解密。對稱密鑰使用AES加密,而RSA使用2K、3K或4K密鑰,并使用「RSAES_OAEP_SHA_1」或「RSAES_OAEP_SHA_256」填充。使用RSA,我們用公鑰加密,用私鑰解密。對于簽名,我們可以使用RSA或ECC簽名。對于RSA,我們有2K、3K或4K密鑰,而ECC簽名使用NISTP256、NISTP384、NISTP521和SECGP256k1(在比特幣和以太坊中使用)。
Orbiter Finance針對6月1日Discord被攻擊事件發布賠償計劃:7月5日消息,Orbiter Finance針對6月1日Discord被攻擊的事件發布賠償計劃。賠償計劃依據用戶損失金額分為3檔,1000美元及以下的損失Orbiter Finance將全額補償。用戶可從7月5日14:30分開始申請補償,申請時間窗口48小時。
此前報道,Orbiter Finance官方Discord于6月1日遭黑客攻擊,黑客獲取管理員權限后曾發布虛假釣魚網站鏈接。[2023/7/5 22:19:29]
AWS可以訪問自己的密鑰嗎?
KMS使用符合FIPS140-2的硬件安全模塊(HSM),AWS員工(或任何其他客戶)無法訪問這些模塊。它們永遠不會出現在任何磁盤或備份中,只存在于HSM的內存中,并且只在使用時加載。此外,密鑰可以被限制在世界的一個區域(除非由用戶定義)。
外媒:美SEC意外泄露加密礦工個人信息,涉嫌違反《隱私法》:1月18日消息,一份截圖顯示,美國證券交易委員會(SEC)于在調查去中心化電網區塊鏈項目Green時無意泄露了加密礦工的個人信息,調查的部分內容包括該項目接觸的消費者,詢問他們購買Green產品的情況,并詢問他們的體驗。雖然Green的成員已經與SEC合作回答了所有相關問題,但該機構未能在1月6日將所有650名用戶的電子郵件以密件方式發送,因此泄露了這些人的姓名和電子郵件。
據收到電子郵件的人士稱,此次泄密事件對加密愛好者社區產生了不利影響。他們聲稱這些信息足以讓他們被識別并破解他們用來通過“挖采”生產Green加密貨幣的“節點”。截至周二,還沒有黑客入侵的報道。Green社區還非常強調維護消費者隱私,因為區塊鏈允許用戶匿名交易和挖幣,并表示它認為發布個人身份信息不利于這一目的。
報道稱,此次調查意外泄露個人信息違反了美國1974年的《隱私法》,該法案禁止在未經適當同意的情況下分享聯邦機構收集的信息。SEC對此回應稱:“保護各方的隱私至關重要,美國證券交易委員會正在調查此事。”(華盛頓觀察家報)[2023/1/18 11:17:50]
對于對稱密鑰,密鑰永遠不會出現在HSM之外,對于非對稱密鑰(公鑰加密),私鑰在HSM內部階段,只有公鑰被導出到外部。
奢侈品牌菲拉格慕在紐約開設以太坊 NFT 展位:6月25日消息,奢侈時尚品牌菲拉格慕(Salvatore Ferragamo)周五在紐約市 Soho 區開設了一個以太坊 NFT 展位,藝術家Shxpir為該品牌的 NFT 創建特征和視覺元素,客戶可以從其列表中創建和鑄造自己的以太坊 NFT ,在 Ferragamo 展臺上創建的所有 NFT 將對參觀者免費,但總共只能鑄造 256 個。Ferragamo 將其 NFT 展位稱為“融合了Web3和實體零售世界”的“多感官”體驗,并表示其關鍵目標是“讓它成為一種內在的個人體驗”。[2022/6/25 1:30:12]
如何審計加密密鑰的使用情況?
從安全性和成本的角度來看,審計加密密鑰的使用方式非常重要。如圖1所示,我們可以啟用CloudWatch,它將顯示如何以及何時使用加密密鑰。
如果我們誤刪了密鑰(或被黑客入侵)會發生什么?
加密密鑰最嚴重的問題之一是密鑰在哪里被刪除。惡意行為者都可以刪除密鑰。可設置的密鑰刪除時間最短為7天(最多為30天):
這種刪除的延遲意味著日志將標識一個密鑰將被刪除,如果刪除錯誤,則很有可能被捕獲。必須記住,我們將無法解密由已刪除的密鑰加密的數據。
我不信任AWS,我能有自己的HSM嗎?
雖然KMS使用HSM,但組織也可以使用CloudHSM集群創建自己的HSM。在KMS中創建一個密鑰,然后將其存儲在集群中:
我們是否限制了對管理和使用的訪問?
加密密鑰是皇冠上的寶石,訪問云中的密鑰可以訪問敏感數據,或簽署有效的交易。一個用例是分離密鑰管理者和密鑰用戶。在本例中,我們可以定義密鑰管理(KEY_ADMINISTRATOR)角色并限制對密鑰使用的訪問。這些密鑰管理者可以執行創建、撤銷、放置、獲取、列出和禁用密鑰的操作,例如:
然后,我們可以定義密鑰的使用權限,例如使用KEY_WORKER角色。對該角色的操作可以是:
WORKER不能創建或刪除密鑰,而ADMINISTRATOR不能加密或解密數據。
總的來說,最小訪問權限規則是其核心,其通過定義密鑰管理和使用角色來簡化用戶訪問。然后將用戶添加到這些角色中。
我可以進行密鑰輪換嗎?
手動更新密鑰并不是一件很好的事情,而且有些人可能可以訪問以前的密鑰。解決這個問題的一種方法是實現密鑰輪換,即密鑰每年自動更換。但是,如果我們使用以前使用的密鑰進行了加密呢?KMS保留所有以前的密鑰,并會根據需要使用它們。密鑰輪換的使用記錄在CloudWatch和CloudTrail上。
密鑰管理基礎設施是否符合PCIDSSLevel1、FIPS140-2和HIPAA?
許多系統的一個密鑰元素是遵從合規標準。KMS符合PCIDSSLevel1、FIPS140-2、FedRAMP、HIPAA和其他定義。AWSKMS(密鑰管理系統)加密模塊與FIPS140-2Level2匹配,其中一些元素與Level3匹配——包括物理安全方面。
結論
規則很簡單,而且是不需要信任的。
Tags:NFTISTGREENGREAPENFTAnarchistsPrimegreendotDigital Currency Aggregate
MarsBitCryptoDaily2022年12月9日 一、?今日要聞 Bybit交易所將從12月15日起更新并強制執行KYC驗證據官方公告,從12月15日起.
1900/1/1 0:00:00注:本文來自@ramahluwalia推特,其是@lumidawealth的首席執行官,推特文中探討了DCG和Grayscale。DCG發布了一封致投資者的信。它澄清了幾個誤解.
1900/1/1 0:00:00作為科技行業的運營商,我們被過于簡單化的增長概念所包圍,這些增長專注于跨量化指標的指數增長。同樣,這種策略也在DAO中被誤導,DAO的基礎功能是社區建設.
1900/1/1 0:00:00Blockless希望基于去中心化的執行層,提供可信鏈下計算和去中心化前端托管服務,為開發者創建具有無可比擬的靈活性、可靠性和可擴展性的去中心化和無服務器應用程序.
1900/1/1 0:00:00自元宇宙出現在大眾視野,大眾對元宇宙的好奇和探索,從來沒有停止過。當元宇宙的熱度逐漸下降,我們不禁想要知道,狂歡過后,萬眾期待的元宇宙怎么樣了? 葉毓睿 近日,“元宇宙融媒”對話高效能服務器和存.
1900/1/1 0:00:00FTX前首席執行官SBF周二告訴巴哈馬法官,他不會放棄反對引渡到美國的權利。 周二上午,這位前行業大佬出現在巴哈馬拿騷的法庭上,將面臨美國的引渡令,罪名是聯邦指控電匯欺詐、共謀和其他指控.
1900/1/1 0:00:00