问题标签 [key-management]

我可以用旧（私有）密钥签署新（公共）密钥，以安全地从一个密钥转移到另一个。但据我所知，没有什么能阻止任何获得旧密钥的人作为官方签署不同的新密钥，甚至在我放弃旧密钥之后很久。

如果我撤销旧的私钥，没有人可以做出那个伪造的签名，这很好。但是撤销密钥是否意味着它对新密钥的签名将失效？（以及它制作的每一个签名？）

因此，即使我是“鲍勃”，认识我为“爱丽丝”的人也能说我是一样的。但随后他们看到“爱丽丝”被撤销，在这种情况下，他们必须抛弃所有关于我的知识，无论是爱丽丝还是鲍勃？

如果我使用具有到期日期的 OpenPGP 密钥签署 git 提交，这对于在到期日期之后查看该提交的人意味着什么？像这样用于提交签名的所有密钥都应该是永久性的吗？

如果验证方有我提供的新密钥怎么办？还是只是我的老？或两者？

一般来说，我是 OpenPGP 的新手，尤其是在签署 git 提交方面。

我正在使用命令：

我得到错误

MalformedPolicyDocumentException

我认为是因为我不了解 value–policy参数的含义。我可以参考任何链接吗？

我正在尝试找到一个解决方案，我可以利用 MySQL Keyring 插件来激活 InnoDB 的静态数据加密，但使用 AWS Key Management 系统。我为 MariaDB 找到了一个类似的插件，但我在 MySQL 中找不到相同的插件：

MariaDB 的 AWS KMS 加密插件

或者我必须从头开始构建它？

我有一个与 Web 服务通信的网站（该网站没有通过 Web 服务进行的所有通信）。

因此您可以访问此 Web 服务，您需要一个 AES 密钥来加密某些字段，并且 Web 服务会验证此加密。

网站中使用的 AES 密钥我把它放在 web.config 中进行测试，但我认为这不是生产的好方法。

所以我的问题是在哪里存储网站的 AES 密钥。

我使用 keytool 来生成密钥：

然后，以下命令将列出有关的信息mykeystore：

结果会喜欢它：

别名：mykey
创建日期：2016 年 12 月 31 日
条目类型：SecretKeyEntry

但我想看到下面的键（我用过openssl enc -aes-256-cbc -k secret -P -md sh1）：

盐=xxxxxxxxxxx
键=EB381B48CC2D39C7A5164491129CA10486861530B02E4FD11D64433CF8388428
iv = xxxxxxxxxxxxxxxxxxxxxxxxxx

如何使用 keytool 从密钥库中查看密钥？

我必须使用企业数据库创建银行应用Spring MVC程序MySQL。数据的加密和解密是使用 MySQL Enterprise 数据库提供的密钥完成的。我发现保护此数据库凭据的一些选项是：

1. 将凭据存储在密钥库中-但我希望将密钥存储在服务代码之外

2. 使用 Azure 密钥存储或 Azure 应用设置 - 但我正在寻找免费资源

3. 使用散列 - 不过，密钥在服务代码中

4. 使用自签名证书 - 必须再次部署这些证书，这可能不安全

现在如何将这个数据库凭据存储在服务代码之外？

是否在不同位置自动复制 CryptoKey。如果没有，我可以通过在不同位置创建多个 KeyRing 来创建自己的复制吗？谷歌云服务会支持这种手动复制吗？

我在文档中找不到答案。

我需要设置端点安全配置（参考 - This IBM Doc）

当我执行管理控制台 -> 安全 -> SSL 证书和密钥管理 -> 管理端点安全配置时

根据 IBM 文档，我应该看到入站/出站链接，但我没有看到任何可以为证书相关信息设置的链接。

这是我应该看到的

这是我实际看到的

有人可以告诉我，我的服务器设置或配置文件中缺少什么吗？

我知道 PKCS#11 是定义 cryptoki API 的标准，而 KMIP 是定义消息格式的协议，但是它们是如何连接的，或者它们是如何互连的？他们如何在密码学中保持各自的重要性？