Anahtar Sarma nedir?
Anahtar sarma, bir anahtarı (yük anahtarını) başka bir anahtarla (sarma anahtarı veya anahtar şifreleme anahtarıyla) şifreleyen kriptografik bir işlemdir; anahtar materyaline depolama veya taşıma sırasında gizlilik ve bütünlük koruması sağlar.
Diğer adlarıyla: key wrap, AES-KW, key encryption key
Anahtar sarma, kriptografik sistemlerde pratik bir sorunu çözer: şifreleme anahtarlarının kendisini nasıl korursunuz? Bir veri şifreleme anahtarı düz metin olarak saklanırsa, depolama alanına erişimi olan herkes onu kullanabilir. Anahtar sarma, veri anahtarını ayrı bir sarma anahtarıyla şifreleyerek bu sorunu çözer; böylece şifrelenmiş verilere erişmek için hem sarılmış anahtarın hem de onu açmanın yolunun gerekli olduğu katmanlı bir anahtar hiyerarşisi oluşturulur.
AES-KW (RFC 3394'te tanımlanan AES Key Wrap), en yaygın kullanılan anahtar sarma algoritmasıdır. Genel amaçlı şifreleme modlarının aksine, AES-KW özellikle anahtar materyali sarmak için tasarlanmıştır. Hem gizlilik hem de bütünlük sağlar: sarma anahtarı yanlışsa veya sarılmış veriler değiştirilmişse, açma işlemi hatalı anahtar materyali üretmek yerine başarısız olur. Bu bütünlük denetimi kritik öneme sahiptir; çünkü sessizce yanlış bir anahtar üretmek, herhangi bir hata bildirimi olmaksızın verilerin anlamsız çıktıya dönüştürülerek çözülmesine yol açar.
Anahtar sarma, anahtar yönetim sistemlerinin, HSM'lerin (Donanım Güvenlik Modülleri) ve bulut sağlayıcılarının kullandığı zarf şifreleme şemalarının temelini oluşturur. Zarf şifrelemede veriler bir veri anahtarıyla şifrelenir, veri anahtarı ise bir ana anahtarla sarılır. Bu model, verimli anahtar dönüşümüne olanak tanır: ana anahtar değiştiğinde yalnızca küçük sarılmış anahtarların yeniden şifrelenmesi gerekir; tüm veri kümesinin değil.
Wrap a data key with a passphrase
A random AES-256 data key gets encrypted by a wrapping key derived from your passphrase via PBKDF2. Change the unwrap passphrase to see AES-KW reject the wrong key cleanly.
This is exactly the flow Vaulted runs when you set a passphrase. The wrapping key never leaves your browser; only the wrapped key and salt travel — in the URL fragment, so the server sees neither.
Vaulted Anahtar Sarma nasıl kullanır
Vaulted, bir gizli dizi için parola ayarlandığında AES-KW anahtar sarma kullanır. Akış şu şekilde işler: tarayıcı, gizli diziyi şifrelemek için rastgele bir AES-256-GCM anahtarı üretir, ardından PBKDF2 kullanarak paroladan bir sarma anahtarı türetir. AES-256-GCM anahtarı, türetilen sarma anahtarıyla AES-KW kullanılarak sarılır. Sarılmış anahtar, salt ve IV, URL parçasına eklenir. Alıcı parolayı girer, PBKDF2 aracılığıyla sarma anahtarını yeniden türetir, AES-256-GCM anahtarını açar ve gizli diziyi çözer.