密钥管理需要多人授权(即“多人控制”或“分权制衡”),主要是为了提升安全性、防止单点故障和内部作恶,以下是几个核心原因:
- 防止单点失误或作恶:如果密钥只有一个人掌管,他可能因疏忽、被胁迫或主动恶意而滥用密钥(例如解密机密数据、伪造签名),造成不可逆的损失,多人授权要求至少两人或以上同时同意才能操作,大大降低了单个人犯错或犯罪的风险。
- 提高系统韧性:如果密钥管理者只有一个人,他可能生病、离职或遭遇意外,从而导致无法访问关键系统,多人授权通常配合“门限方案”(如n取m的规则),即使部分人无法参与,只要达到法定人数,系统依然可用。
- 责任分离与审计:不同的人负责密钥的不同部分或操作步骤,便于事后审计,任何操作都需要多人的明确授权记录,一旦出现问题,可以清晰追溯到是哪一组或哪个人违规。
- 对抗高级持续性威胁:攻击者如果只渗透一个人的设备或账户,无法完全控制密钥,只有同时攻破多个不同持有者的安全环境,才能成功窃取或滥用密钥,这大大提高了攻击难度。
典型的应用场景:
- 根证书签发机构:签发顶级证书的私钥,通常需要多名高管同时插入密钥卡并输入密码。
- 区块链/加密货币金库:企业级的加密资产托管,通常要求3把钥匙中的2把(或2/3)才能完成转账。
- 军事或政府机密系统:核武器发射、绝密档案解密,需要多人同时在场授权。
简而言之,多人授权是一种“分权”策略,通过将信任分散到多人身上,从而在安全、可用和防滥用之间取得平衡。
