5、密码学密钥：对称与非对称方案及证书验证

密码学密钥：对称与非对称方案及证书验证

对称密钥相关的密钥建立与交付

在密钥管理过程中，存在一种密钥交付机制。密钥管理器使用主密钥（MK）解密分层密钥（HK），然后将HK和标识符（ID）作为HMAC的输入，生成种子值。种子值被返回给数据库，之后HK和种子值被擦除，密钥管理器仅保留MK。数据库将种子值作为密钥派生函数（KDF）的输入，在系统内存中生成数据加密密钥（DEK）。需要注意的是，密钥管理器不包含KDF，因此无法生成DEK，它始终不违反其密码学边界并保护密钥。同时，数据库服务器仅在磁盘上存储良性数据，仅在系统内存中使用密钥。

非对称密钥的特性与应用

非对称密钥与对称密钥不同，对称密钥基本上是随机或伪随机的二进制位串，而非对称密钥是通过数学方程构建的，并且总是成对出现，即私钥和公钥。通常，公钥从私钥派生而来，但无法从公钥推导出私钥，因此公钥可以安全地分发和被多方使用，而不会有私钥被确定的风险。

非对称密钥根据不同的非对称算法，可用于数据完整性和真实性、数据保密性或密钥管理，具体如下：
- 数据完整性和真实性 ：私钥可用于生成数字签名，相应的公钥可用于验证数字签名。用于数字签名的非对称算法可以是可逆的或不可逆的。
- 数据保密性 ：公钥可用于数据加密，相应的私钥可用于数据解密。但要实现加密和解密，非对称算法必须是可逆的。
- 密钥管理 - 密钥传输 ：公钥可用于密钥加密，相应的私钥可用于密钥解密。当在一个位置使用公钥加密对称密钥，在另一个位置使用私钥解密时，这称为非对称密钥传输。同样，加密和解密要求非对称算法是可逆