什么是密钥托管？

密钥托管通常是把加密的数据和数据恢复密钥联系起来,数据恢复密钥不必是直接解密的密钥,但由它能够得到解密密钥。理论上数据恢复密钥由所信赖的委托人持有。一个密钥也可能在数个这样的委托人中被拆分多个分量,分别由多个委托人持有。授权组织可经过适当的程序,从数个委托人手中恢复密钥。

从技能实现角度来定义:密钥托管是指用户向CA在请求数据加密证书之前,有必要把自己的密钥分成n份交给可信赖的n个托管人。任何一位托管人都无法经过自己存储的部分用户密钥恢复用户密码。只有这n个人存储的密钥合在一起才干得到用户的完整密钥。

(1)避免抵赖。在商务活动中,经过数字签名即可验证自己的身份以防抵赖。但当用户改动了自己的密码,他就可抵赖没有进行过此商务活动。为了避免这种抵赖有几种办法:一种是用户在改密码时有必要向CA阐明,用户自己不能私自改动;另一种是密钥托管,当用户抵赖时,其他托管人就可出示他们存储的密钥组成用户的密钥,使用户没法抵赖。

(2)政府监听。政府、法律职能部分或合法的第三者为了盯梢、截获犯罪嫌疑人员的通讯,需求取得通讯两边的密钥。这时合法的监听者就可经过用户的委托人搜集密钥片后得到用户密钥,就可进行监听。

(3)用户密钥恢复。用户遗忘了密钥想恢复密钥,就可从委托人那里搜集密钥片恢复密钥。