USB闪存盘是一种低成本存储设备,可用于管理系统的加密主密钥。 您可以配置加密功能,并使用USB闪存盘存储系统的本地主加密密钥副本。当系统需要时,只需将闪存盘插入USB端口即可提供密钥。
注: 根据组织的安全策略,可以禁用系统上的 USB 端口,以防止这些端口用于存储加密密钥文件。
在配置加密期间,系统必须在 USB 闪存驱动器上存储至少三个主密钥副本。 可以在配置准备阶段创建超过三个主密钥副本,方法是将当前 USB 闪存驱动器与新的 USB 闪存驱动器物理交换,直到成功写入所需数量的密钥副本为止。 通过从其中一个 USB 闪存驱动器制作加密密钥文件的副本,也可以在配置后制作更多主密钥副本。 然后可以将其存储在其他存储介质上,或者使用秘密管理软件进行管理。
注: 写入 USB 闪存驱动器的加密密钥文件高度敏感,应该安全地进行管理。 如果复制加密密钥文件,请注意不要使未经授权的各方能够访问该文件。
可使用两个选项来访问 USB 闪存驱动器上的密钥信息:
- 将 USB 闪存驱动器一直插在系统中
- 如果您希望系统在系统重新启动后自动使加密数据联机,那么 USB 闪存驱动器必须保留安装在系统中的一个或多个容器中。 当系统打开电源时,将从系统中安装的任何可用 USB 闪存驱动器读取加密密钥。 此方法要求系统所在的物理环境非常安全。 如果位置安全,那么可防止未经授权的人员窃取 USB 闪存驱动器以生成加密密钥的副本,以及窃取系统组件 (例如驱动器)。 此方法的风险在于,如果位置不安全,并且主加密密钥已连接到系统,那么窃取系统和 USB 闪存驱动器意味着可以访问静态加密数据。
- 系统中未插入 USB 闪存驱动器
- 对于最安全的操作,请勿将 USB 闪存驱动器保持插入系统中的容器中。 但是,当系统需要提供加密密钥时,此方法要求您在某些操作期间在容器中手动安装包含加密主密钥的 USB 闪存驱动器。 必须安全地存储包含当前主密钥的 USB 闪存驱动器,以防止被盗或丢失。 在系统需要提供加密密钥的操作期间,必须将一个或多个 USB 闪存驱动器手动安装到任何容器中,以便可以访问数据。 系统从 USB 闪存驱动器读取加密密钥后,系统将解锁,加密数据将可访问。 系统联机后,必须安全地卸下和存储 USB 闪存驱动器,以防止被盗或丢失。 此方法的优点是,即使系统或驱动器被盗,也无法访问静态加密数据,因为主密钥不存在。