不管喜歡與否,我們都正在轉向公共云。為什么呢?因為這樣構建信息系統的成本通常要低得多,我們就不必擔心在硬件上的投資。
KMS(密鑰管理存儲)
在AWS云中,我們使用KMS(密鑰管理存儲)來創建密鑰(圖1),然后可以使用密鑰來加密/解密數據、簽名/驗證簽名、導出數據密鑰和生成/驗證MAC(消息身份驗證碼)。
圖1:AWSKMS
總的來說,我們有AWS管理的密鑰(例如Lambda服務)、客戶管理的密鑰(這些是由客戶創建和管理的)和自定義密鑰存儲(這些是客戶完全控制密鑰的密鑰存儲)。
小幽靈聯創以104ETH購入196只Lil Ghost:4月13日消息,NFT項目The Weirdo Ghost Gang“小幽靈”聯創Christian2022.eth以104.07032ETH(約合20萬美元)價格通過Open Sea Pro購入196只Lil Ghost。[2023/4/13 14:00:36]
AWS可以使用哪些密鑰類型?
可以將密鑰用于ECS(計算)、EBS和S3(存儲)以及一系列其他服務。總的來說,我們使用對稱密鑰或RSA密鑰對來進行加密和解密。對稱密鑰使用AES加密,而RSA使用2K、3K或4K密鑰,并使用「RSAES_OAEP_SHA_1」或「RSAES_OAEP_SHA_256」填充。使用RSA,我們用公鑰加密,用私鑰解密。對于簽名,我們可以使用RSA或ECC簽名。對于RSA,我們有2K、3K或4K密鑰,而ECC簽名使用NISTP256、NISTP384、NISTP521和SECGP256k1(在比特幣和以太坊中使用)。
MetaMask將支持通過Lido和Rocket Pool進行流動性質押:金色財經報道,ConsenSys 周五宣布,加密錢包提供商 MetaMask 現在將支持通過 Lido 和 Rocket Pool 進行流動性質押。在該協議的公開測試版中,想要質押 ETH 并因對網絡共識做出貢獻而獲得獎勵的用戶可以直接在 MetaMask 的 web3 應用程序中進行,方法是選擇所需的質押提供商并確認要分配的 ETH 數量并簽署交易,希望將在 Lido 或 Rocket Pool 上質押而收到的 stETH 或 rETH 換回 ETH 的用戶可以在 MetaMask 中付費進行。
MetaMask 高級產品經理 Abad Mian 解釋道:“重要的是要注意 MetaMask Staking 不提供質押服務,我們只需將用戶連接到 Lido 和 Rocket Pool 以質押他們的 ETH 并直接從質押提供商那里接收流動性質押代幣。”[2023/1/14 11:11:13]
AWS可以訪問自己的密鑰嗎?
DOGE聯創:Binance和Tether中只要有一個崩潰,加密游戲就將結束:金色財經報道,狗狗幣 DOGE 聯合創始人 Billy Markus(社交媒體名稱 Shibetoshi Nakamoto)表示,Binance和Tether中只要有一個崩潰,加密游戲就將結束。他總結稱,越多越多人意識到,過度中心化是一個“大弱點,而且當人們購買的時候就已經是這樣了” 。(cryptopotato)[2022/11/20 22:09:22]
KMS使用符合FIPS140-2的硬件安全模塊(HSM),AWS員工(或任何其他客戶)無法訪問這些模塊。它們永遠不會出現在任何磁盤或備份中,只存在于HSM的內存中,并且只在使用時加載。此外,密鑰可以被限制在世界的一個區域(除非由用戶定義)。
電商巨頭Shopify與Novel合作允許其平臺用戶直接購買NFT:10月19日消息,電商巨頭Shopify宣布與Web3商務平臺Novel建立合作伙伴關系,Novel可以在NFT集合上部署智能合約,Shopify用戶可以在平臺上直接購買這些NFT。Novel Shopify應用程序主要提供兩個功能:鑄造和分發NFT,一旦購買了NFT,Shopify用戶則將獲得一個自動創建的加密錢包。
此外,Shopify商家(包括品牌和創作者)還能在店面啟用基于Token的應用功能,比如提供使用Token的折扣優惠、支持Solana、以太坊和Polygon上的跨鏈交易等。(inferse)[2022/10/19 17:32:13]
對于對稱密鑰,密鑰永遠不會出現在HSM之外,對于非對稱密鑰(公鑰加密),私鑰在HSM內部階段,只有公鑰被導出到外部。
如何審計加密密鑰的使用情況?
從安全性和成本的角度來看,審計加密密鑰的使用方式非常重要。如圖1所示,我們可以啟用CloudWatch,它將顯示如何以及何時使用加密密鑰。
如果我們誤刪了密鑰(或被黑客入侵)會發生什么?
加密密鑰最嚴重的問題之一是密鑰在哪里被刪除。惡意行為者都可以刪除密鑰。可設置的密鑰刪除時間最短為7天(最多為30天):
這種刪除的延遲意味著日志將標識一個密鑰將被刪除,如果刪除錯誤,則很有可能被捕獲。必須記住,我們將無法解密由已刪除的密鑰加密的數據。
我不信任AWS,我能有自己的HSM嗎?
雖然KMS使用HSM,但組織也可以使用CloudHSM集群創建自己的HSM。在KMS中創建一個密鑰,然后將其存儲在集群中:
我們是否限制了對管理和使用的訪問?
加密密鑰是皇冠上的寶石,訪問云中的密鑰可以訪問敏感數據,或簽署有效的交易。一個用例是分離密鑰管理者和密鑰用戶。在本例中,我們可以定義密鑰管理(KEY_ADMINISTRATOR)角色并限制對密鑰使用的訪問。這些密鑰管理者可以執行創建、撤銷、放置、獲取、列出和禁用密鑰的操作,例如:
然后,我們可以定義密鑰的使用權限,例如使用KEY_WORKER角色。對該角色的操作可以是:
WORKER不能創建或刪除密鑰,而ADMINISTRATOR不能加密或解密數據。
總的來說,最小訪問權限規則是其核心,其通過定義密鑰管理和使用角色來簡化用戶訪問。然后將用戶添加到這些角色中。
我可以進行密鑰輪換嗎?
手動更新密鑰并不是一件很好的事情,而且有些人可能可以訪問以前的密鑰。解決這個問題的一種方法是實現密鑰輪換,即密鑰每年自動更換。但是,如果我們使用以前使用的密鑰進行了加密呢?KMS保留所有以前的密鑰,并會根據需要使用它們。密鑰輪換的使用記錄在CloudWatch和CloudTrail上。
密鑰管理基礎設施是否符合PCIDSSLevel1、FIPS140-2和HIPAA?
許多系統的一個密鑰元素是遵從合規標準。KMS符合PCIDSSLevel1、FIPS140-2、FedRAMP、HIPAA和其他定義。AWSKMS(密鑰管理系統)加密模塊與FIPS140-2Level2匹配,其中一些元素與Level3匹配——包括物理安全方面。
結論
規則很簡單,而且是不需要信任的。
Tags:ETHMASMETAMAMAEthlyte Cryptometamask閃退打不開小狐貍MetaMask官方metamask安裝包
頂級加密風投正紛紛下場做以太坊節點客戶端,前有a16z推出以太坊輕客戶端Helios,后有Paradigm構建以太坊執行層Reth.
1900/1/1 0:00:00最近有個重大新聞,一個號稱去中心化金融衍生品的交易平臺-Lymex,在鏈上的技術部署據說受到部署失誤,套利者用漏洞套利大量LYM,通過賣入底池獲利在30萬沒有.
1900/1/1 0:00:00區塊鏈一直在發展,每次迭代都試圖解決區塊鏈去中心化、可擴展性和安全性的三難困境。比特幣、以太坊和Solana等區塊鏈具有單體結構和四個主要功能:數據可用性、共識、結算和執行.
1900/1/1 0:00:002022年對加密貨幣來說是一場燃燒的垃圾桶之火。但是,由于我不想也不愿意去坐第二次過山車,所以我對明年的預測是這樣的.
1900/1/1 0:00:00Reddit是一個什么樣的社交平臺?Reddit是一個流行的線上網站,允許用戶討論、投票和分享內容。它擁有超過15億注冊用戶,4.3億月度活躍用戶,以及5200萬日活躍用戶.
1900/1/1 0:00:002022年10月31日,香港正式發布《有關香港虛擬資產發展的政策宣言》,在全球加密領域邁出關鍵一步.
1900/1/1 0:00:00