Google發佈了基於雲的加密密鑰管理系統

導讀	Google發佈了用於Google雲平臺（GCP，Google Cloud Platform）的新服務，容許建立、使用、旋轉和銷燬對稱加密密鑰。雖然新的雲密鑰管理系統（KMS，Key Management Service）是與Google的雲身份訪問管理（Cloud Identity Access Management）和雲審計日誌（Cloud Audit Logging）集成的，可是KMS管理的密鑰也可獨立使用。

在推出Google KMS以前，Google GCP用戶能夠選擇讓GCP自動爲用戶處置密鑰問題，或是提供本身的密鑰用於服務器端加密。如今KMS提供了新的選項，即管理基於雲的密鑰並經過API使用密鑰加密和解密數據。Google的雲KMS還支持旋轉密鑰操做，該操做能夠手動運行或是基於計劃運行。當密鑰被旋轉後，在保持舊密鑰對解密激活的同時，只有一個主密鑰可用於新數據的解密。

據Google介紹，雲KMS能夠輕易處理百萬級的加密密鑰，並提供對密鑰的低延遲訪問。值得注意的是，GCP加密數據時要將數據分割爲子文件數據塊，每一個數據塊的加密使用獨立的數據加密密鑰（DEK，Data Encryption Key）。DEK緊鄰被加密的數據塊而存儲，並受到加密密鑰的密鑰（KEK，Key Encryption Key）保護，這裏使用的密鑰就是管理在雲KMS中的密鑰。

Google雲KMS使用了AES256密鑰，由Google開源的BoringSSL軟件庫提供。此外，Google在Galois/Counter模式下評價了他們的算法，該算法的目標在於提供高數據速率的認證加密，這種高數據速率要歸功於對流水線或並行處理技術的使用。

原文來自：http://www.linuxidc.com/Linux/2017-01/139738.htm

本文地址：http://www.linuxprobe.com/google-clound-platform.html