WebCrypto密钥生成与导出治理(extractable/用途限制)最佳实践
通过WebCrypto在密钥生成时设置extractable与用途限制,并控制导出行为,降低密钥泄露风险与误用可能性。
密钥
WebCrypto 密钥封装与跨会话保存
使用 `wrapKey/unwrapKey` 对会话密钥进行封装与解封,结合 RSA-OAEP 或 AES-KW,实现跨会话的安全密钥保存与恢复。
WebCrypto HKDF 会话密钥派生与短期加密实践
使用 HKDF 从共享秘密派生会话密钥并执行短期加密,提升传输与本地存储的安全性与可撤销性。
WebCrypto API 文件加密与密钥管理实战
在浏览器端实现文件加密与密钥管理的可用方案,包含特性检测、AES-GCM 加解密、口令派生与密钥持久化示例。
数据加密与密钥分层(Envelope Encryption、KMS、透明加密)
采用信封加密与 KMS 管理数据密钥,实现分层与轮换,结合透明加密在存储层保障数据安全,并提供验证方法。
HashiCorp Vault 动态凭证与租户密钥治理(2025)
HashiCorp Vault 动态凭证与租户密钥治理(2025)一、租户与命名空间租户:以命名空间隔离租户;独立策略与路径(租户)。授权:最小权限策略,仅允许必要的读写路径。二、动态凭证与轮换动态凭证:为数据库/云服务签发短期凭证(动态凭证),自动过期。密钥轮换:定期轮换密钥与证书;记录版本与撤销
JWE敏感负载加密与密钥轮换(AES-GCM/RSA-OAEP)最佳实践
通过AES-GCM加密敏感负载与RSA-OAEP封装CEK,并实施kid标识与轮换策略,保障传输与存储的机密性与可追溯性。
KMS密钥轮换与Envelope Encryption最佳实践
使用Envelope Encryption实现数据加密,包含数据密钥生成与AES-GCM加密、数据密钥用主密钥(CMK)包裹、密钥轮换与元数据管理,附加解与轮换示例与参数校验。
KMS包裹加密Envelope Encryption与密钥策略实践
使用 KMS 的包裹加密模式,以主密钥包裹数据密钥实现高效加密,设计访问策略与轮换审计,并提供集成与验证方法。
Crypto.getRandomValues:安全随机数与密钥材料
使用 `crypto.getRandomValues` 生成加密安全的随机数与密钥材料,避免使用 `Math.random` 等不安全来源,给出长度与类型建议。
