關鍵安全參數

關鍵安全參數（英語：Critical security parameter，縮寫：CSP^[1]）是密碼學上的名詞，指由使用者或系統定義，用在加密模組上的重要資訊。關鍵安全參數可能是用來處理加密功能的（例如金鑰），也有可能是身份验证資料（例如密碼），若公開或修改關鍵安全參數，可能會破壞加密模組的安全性，或是破壞模組所保護資料的安全性。^[2]

範例

以下為關鍵安全參數的例子：^[2]

加密金鑰

加密金鑰（encryption keys）在密碼學中用來加密、解密資料。金鑰看似隨機，其實是以有邏輯的方式演算，因此擁有正確的金鑰才能解密被加密的資料。只要金鑰夠複雜，第三方就不太可能暴力破解密碼。^[3]對稱式加密中，同一個金鑰用於加密和解密資料，加密者和解密者得共用同一個金鑰。因為只有一個金鑰，對稱式加密速度更快、計算效率高。然而，用這種加密方式的話，分發和管理密鑰有安全風險，得保證金鑰不被未經授權的人員獲取；非對稱加密有兩個密鑰：公開金鑰和私密金鑰。公開金鑰是公開的，任何人都能用來加密資料，只有對應的私密金鑰才能解密。私密金鑰必須保密，只能由資料的所有者持有。非對稱加密的安全性更強，即使公開金鑰被他人獲取，也無法推算出私密金鑰。^[4]

數位憑證

數位憑證（digital certificates）用於建立實體（個人、組織或系統等）的信任，驗證其真實性，例如公開金鑰、數位簽章和身份資訊等關鍵安全參數。數位憑證是許多網路傳輸協定的關鍵，例如，在SSL/TLS通訊協定中，數位憑證建立加密連線、驗證伺服器的真實性。數位憑證也可用於簽署和驗證電子郵件訊息，以確認寄件人身份。此外，數位憑證也可以用來簽署程式碼，確保軟體完整和來源真實。^[5]如果數位憑證被入侵、濫用，攻擊者可能進行中間人攻擊，冒充合法實體或竊取敏感資訊。^[2]

密碼和身份驗證權杖

密碼和身份驗證權杖（passwords and authentication tokens）驗證使用者身份的憑證，授予使用者存取系統、資源的權限。如果密碼或權杖遭到破壞或被第三方入侵，攻擊者可以未經授權存取敏感資料或系統。^[2]權杖可以是軟體組件或硬體裝置，讓使用者能安全登入且保持登入狀態。使用強密碼和多因素驗證（MFA）可提升權杖安全性。^[6]

安全配置參數

安全配置參數（secure configuration parameters）用來確認系統或應用程式的安全設定，比如防火牆規則、存取控制表和安全策略等。正確的配置參數可以防範安全漏洞和攻擊。如果配置不當或暴露參數，會導致系統容易被攻擊或配置錯誤。^[2]

安全雜湊

安全雜湊（secure hashes）是一種雜湊函式，將任意長度的資料轉換為固定長度的雜湊值。雜湊值是根據輸入資料計算出來的唯一字串。安全雜湊的特色是無法從雜湊值直接推導出原始資料，即使輸入資料有小變化，雜湊值也會有很大的差異。^[7]安全雜湊常用在驗證資料完整性、數位簽章和密碼儲存。例如，驗證資料完整性時，使用者可以計算原始資料的雜湊值，將其與接收到的資料雜湊值比對，確認資料是否在傳輸過程中變化。^[8]應用在數位簽章時，雜湊函式用來產生雜湊值，然後再用私密金鑰加密雜湊值，產生數位簽章。如此一來，任何人都可以使用相應的公開金鑰驗證數位簽名的真實性，也能確認原始資料是否遭到竄改。^[2]^[9]

參考資料

^ FIPS PUB 140-2: Security Requirements for Cryptographic modules (PDF). 國家標準技術研究所. 2002-12-03 [2021-12-10]. （原始内容存档 (PDF)于2017-09-18）.
^ ^2.0 ^2.1 ^2.2 ^2.3 ^2.4 ^2.5 What is Critical Security Parameter. Aicur.net. 2023-06-05 [2023-07-16]. （原始内容存档于2023-07-16）（英国英语）.
^ 什麼是加密？| 加密類型. CloudFlare. [2023-07-17]. （原始内容存档于2023-07-16）（中文（繁體））.
^ 對稱加密vs非對稱加密. Binance Academy. 2019-04-22 [2023-07-16]. （原始内容存档于2023-07-16）（中文（繁體））.
^ 數位憑證 - Windows drivers. Microsoft. 2023-06-15 [2023-07-16]. （原始内容存档于2023-07-16）（中文（臺灣））.
^ Mizrachi, Aviad. What is an Authentication Token? A Detailed Review. Frontegg. 2021-11-11 [2023-07-16]. （原始内容存档于2023-07-16）（美国英语）.
^ What Is Hashing? [Step-by-Step Guide-Under Hood Of Blockchain]. Blockgeeks. 2017-08-06 [2023-07-16]. （原始内容存档于2023-07-16）（加拿大英语）.
^ Digital Forensics: Hashing for Data Integrity. MCSI Library. [2023-07-16]. （原始内容存档于2023-07-16）（英语）.
^ Pigeon, Daniel. Accelerating Digital Signatures With Client-Side Hash Signing. Garantir. 2020-07-17 [2023-07-16]. （原始内容存档于2023-07-16）（美国英语）.

[1] FIPS PUB 140-2: Security Requirements for Cryptographic modules (PDF). 國家標準技術研究所. 2002-12-03 [2021-12-10]. （原始内容存档 (PDF)于2017-09-18）.

[:1-2] 2.0 ^2.1 ^2.2 ^2.3 ^2.4 ^2.5 What is Critical Security Parameter. Aicur.net. 2023-06-05 [2023-07-16]. （原始内容存档于2023-07-16）（英国英语）.

[:0-3] 什麼是加密？| 加密類型. CloudFlare. [2023-07-17]. （原始内容存档于2023-07-16）（中文（繁體））.

[4] 對稱加密vs非對稱加密. Binance Academy. 2019-04-22 [2023-07-16]. （原始内容存档于2023-07-16）（中文（繁體））.

[5] 數位憑證 - Windows drivers. Microsoft. 2023-06-15 [2023-07-16]. （原始内容存档于2023-07-16）（中文（臺灣））.

[6] Mizrachi, Aviad. What is an Authentication Token? A Detailed Review. Frontegg. 2021-11-11 [2023-07-16]. （原始内容存档于2023-07-16）（美国英语）.

[7] What Is Hashing? [Step-by-Step Guide-Under Hood Of Blockchain]. Blockgeeks. 2017-08-06 [2023-07-16]. （原始内容存档于2023-07-16）（加拿大英语）.

[8] Digital Forensics: Hashing for Data Integrity. MCSI Library. [2023-07-16]. （原始内容存档于2023-07-16）（英语）.

[9] Pigeon, Daniel. Accelerating Digital Signatures With Client-Side Hash Signing. Garantir. 2020-07-17 [2023-07-16]. （原始内容存档于2023-07-16）（美国英语）.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]