金鑰復原代理(KRA)

當我們談到金鑰保存與修復時, 其中一項重要機制就是金鑰復原代理(Key Recovery Agent, KRA), 這是一種為了協助復原用戶金鑰而設計的角色, 特別在企業中使用加密憑證的情境下非常關鍵

什麼是金鑰復原代理(KRA):

KRA是一種具有特殊憑證的帳戶, 用來復原經由 CA發行的用戶私密金鑰(僅限用於加密用途的金鑰), CA在發行加密憑證時, 可以同時將用戶的私密金鑰進行金鑰封存, 這些封存的金鑰被加密並儲存在 CA中, 只有具備金鑰復原代理憑證的帳戶才能進行復原操作

為什麼需要 KRA:

1. 避免資料永久遺失(尤其是加密郵件、加密文件)

。若使用者的電腦遺失或私密金鑰遺失, 用戶自己無法解密先前加密的資料

。使用 KRA就可以由授權管理員幫使用者復原金鑰, 取回資料

2. 增加資料恢復的可用性

與備份相比, KRA是針對個人私密金鑰的復原機制, 特別適用於用戶端加密的情況(例如 EFS或 S/MIME加密郵件)

KRA的簡要運作流程

。建立 KRA憑證(透過 KRA憑證範本發行給指定帳戶)

。在 CA上設定允許金鑰封存, 並指定 KRA憑證w-studio.idv.tw

。使用者申請加密憑證時, CA同時封存其私密金鑰(加密給 KRA公鑰)

。若有需要, 管理員可使用 KRA憑證來復原該金鑰

。將復原的金鑰(通常為 .pfx 格式)交給使用者重新匯入

安全注意事項

。不可濫用 KRA憑證, 避免未授權的金鑰存取

。應有內部原則規定: 誰可以做復原、是否需要雙重認證流程

。建議將 KRA憑證儲存於 HSM(硬體安全模組)或密碼保護的安全位置