如何解决白盒环境下的密钥安全风险

 

如何解决白盒环境下的密钥安全风险


密码技术的全场景应用下的安全风险
随着信息产业加速升级,大量传统产业在进行数字化转型,同时基于5G网络的移动互联网、物联网、车联网、智能家居、智慧城市的发展推广,催生了大量涉及敏感信息数据的新兴应用场景,如智能蓝牙钥匙、二维码乘车、非接触式支付、身份鉴别、存储数据加密、通信协议加密等。而随着密码技术应用场景的多样化、复杂化,做为密码载体的软件所处的运行环境也越来越不可控、不安全,攻击者完全可以截取密码计算、传递的中间信息,进而破解、还原密钥并对保护数据进行解密,最终完成相关攻击过程。

众所周知,密码算法的安全性前提是假定加解密过程处于黑盒中,即攻击者不会以调试程序的方式进行破解,只能观察到一些外部信息或者操作,这些信息包括系统内的明文(输入)或者密文(输出),并且认为代码执行以及动态加密不可被观察,也就是说密码算法是假设通讯的两端和计算平台是安全的。

但随着智能设备的不断普及,运行在终端设备上的程序,并不受开发者控制:

l  在用户的手机上运行着,也在攻击者的调试器中运行着,这样的运行环境可称为白盒环境;

l  攻击者可任意使用调试工具对终端设备发起攻击,在反编译后的程序中寻找加密算法,在运行时的内存中寻找密钥,进行破解,这样的攻击可称为白盒攻击。

相对传统密码攻击方法,白盒攻击并不对密码算法本身进行破解,攻击者只是在程序中寻找密钥,通过各种方式推断、破解加密算法。


以密钥白盒保护技术为核心构建密钥防护壁垒

安全白盒密码(white-box cryptography) 技术,以保护原始“密钥” 安全为目的,保障原始密钥在白盒环境下即使遭受到白盒攻击也不会出现密钥明文,有效地保障密钥安全,进而保护数据安全。同时,在整个密钥的安全保护链条里,需要同步实现对应用程序、通信协议等方面内容的加密保护,构建多层次的整体防护壁垒。

主要优势:

1、真白盒保护,全程无原始密钥

对原始密钥进行隐藏,确保在数据的加密、解密过程中不会出现原始密钥,让攻击者无法识别、提取、盗用原始密钥进行仿真攻击。

2、支持一次一密,动态替换

支持动态替换白盒密钥或原始密钥,可以满足客户一次一密或一机一密等高安全使用场景。

3、支持对称与非对称算法

支持SM4、AES、DES、3DES、RSA等对称与非对称算法的白盒化保护。

4、全平台支持,多种解决方案

支持Android、iOS、H5、小程序、Linux、Windows等移动互联网、物联网、车联网主要系统平台,可按需要在性能、安全性之间进行调节。

安全密钥白盒已应用于金融、轨道交通、政企、互联网、车联网、物联网等领域,可进一步保护密钥安全与数据安全。