重要性
静态安全的密钥只是挑战的一部分。密钥必须用于签署交易、备份以防丢失、在被盗用时轮换,以及在继承事件中转移。每个操作都会产生错误或攻击的机会。密钥管理定义了这些操作如何安全进行。
运作方式
生成: 密钥应使用具有可审计随机性的可信硬件创建。生成环境应隔离并经过验证。
存储: 密钥的保护应与其价值相称。高价值密钥需要冷存储、地理分布和物理安全控制。
访问控制: 谁可以使用密钥、在什么条件下、需要什么授权?双重控制(需要多人)和职责分离(不同人员负责不同功能)减少内部风险。
备份与恢复: 必须存在备份副本以防止丢失,但每个副本都是攻击面。备份策略应平衡持久性与暴露风险。
轮换与退役: 当密钥可能被盗用时,应将持仓转移到新密钥。旧密钥应安全销毁。轮换过程本身必须安全。
审计与监控: 密钥使用应被记录。异常访问模式应触发警报。定期审查应验证控制仍然有效。
常见失败
- 在被盗用的硬件上生成密钥
- 备份存储不安全或根本没有备份
- 访问权限授予过于宽泛或缺乏适当控制
- 怀疑被盗用时没有轮换流程
- 继承计划未能解决密钥转移问题
