加密是加強網絡安全的一個核心原則，網絡攻擊者通常無法竊取已經加密的數據。很多黑客無法獲取采用良好加密措施的數據，更不用說采用“多層加密”措施的數據。但是加密也面臨著很多挑戰。

在安全廠商Cyber Security Competency 公司在去年秋天開展的一項調查中，66%的受訪者表示，加密密鑰的管理對他們的公司而言是一個大挑戰。而在多個云平臺管理密鑰是一個更大的挑戰。

波洛蒙研究所和Encryption咨詢公司在去年進行的類似調查中，60%的受訪者表示，密鑰管理“非常痛苦”。

那么造成這種痛苦的最主要原因是什么?組織需要知道誰負責所有密鑰。其他痛點包括缺乏熟練的人員以及孤立或零散的密鑰管理系統。

與此同時，加密技術在不斷發展，要在所有加密算法上保持領先地位是一個挑戰。加密涉及一些繁重復雜的數學運算，因此很容易犯錯誤。

受訪者預計，企業將在未來十年內采用新方法，例如多方計算、同態加密和量子算法。

競爭激烈

與任何安全技術一樣，加密是一種貓和老鼠之間的無窮無盡的游戲。網絡攻擊者試圖找到算法中的漏洞。為了跟上技術發展的步伐，防御者將會改進算法，增強算法的實現方式或增加加密密鑰的長度。這意味著任何長期的加密策略都必須允許升級算法或密鑰。

Insight公司云計算和網絡安全高級經理Mike Sprunger表示，組織需要采用例如管理互聯網通信的服務器。要對消息進行加密，發送方和接收方都必須就使用的加密方法和密鑰長度達成一致。

他說：“在部署這些服務器時，會列出一系列從最理想到最不理想的算法，它們將協商以找到最高級別的匹配項。不幸的是，這些算法可能會過時。在通常情況下，在部署服務器時，工作人員再也不會接觸它們。”

很多密鑰在創建和使用之后并立即丟棄。然而，當涉及到長期儲存的數據時，這些密鑰必須使用多年的時間。一些組織有業務或法規要求將數據保留十年或更長時間。

如果加密技術變得過時，或者密鑰本身被泄露，數據中心必須解密原有的所有數據，然后使用更好的加密方法再次對其進行重新加密。

Sprunger說：“一個良好的做法是定期更換密鑰。”

如果數據中心操作人員獨自一人做這件事情，很容易成為管理上的噩夢。他說：“良好的供應商有一種機制來遍歷、回收和替換密鑰。如果出現任何問題并且密鑰丟失，那么數據也將丟失。”

加密在生成用于對系統、用戶和應用程序進行數字簽名和身份驗證的證書時也起著重要作用。如果這些證書過期、丟失或泄露，組織可能會失去對其應用程序的訪問權限，或者網絡攻擊者可能獲得訪問權限。

Sprunger說：“大多數組織在管理這方面做得并不好。而且，如果他們不能正確地管理證書，則可能會面臨關閉其組織的風險。我建議，如果他們不擅長管理證書，則應該尋求第三方提供商的幫助。”

硬件加密面臨的障礙

如果加密是由硬件處理的，那么對于選擇購買和維護自己設備的數據中心來說，升級可能是一個特殊的挑戰。硬件加速可以提高速度和安全性，但是硬編碼算法也可能變得陳舊過時。

Sprunger說：“現在必須回去更換設備，以獲得不同的算法或更大的密鑰大小。”

另一方面，如果某個特定的系統具有嵌入式的基于硬件的加密(例如加密硬盤)，那么當更換設備時，新設備將自動在其中進行更新和更好的加密。

IEEE研究員、Coughlin協會總裁Tom Coughlin說：“這將是很輕松的升級過程。由于基于軟件的加密包含多個系統，升級可能是一個更大的挑戰。這可能會有一些問題，這取決于問題的數量以及它們之間的相互依賴程度。”

評估加密

Insight公司云計算和網絡安全高級經理Sprunger表示，在選擇加密供應商時，數據中心應該尋找那些符合FIPS 140-2標準的供應商。

獲得這種認證既困難又昂貴，涉及第三方安全性審查，但這需要政府的授權。

他說：“作為一家制造加密設備廠商的技術工程總監來說，這是一個艱難的過程。任何供應商都應該能夠立即對有關合規性的問題作出回應。”

等待標準出現

有許多供應商和組織致力于開發新的加密技術并創建所需的標準，以確保都朝著同一方向發展。數據中心管理者希望購買能夠為未來奠定基礎的設備，他們必須等待技術和標準的出現。當使用相同的密鑰來鎖定和解鎖數據時，就對稱加密而言，目前的情況更為清晰。

英特爾公司高級首席工程師Simon Johnson表示，要保證數據安全一兩年的時間，目前采用的128位加密措施就足夠了。

他說，“如果組織的數據希望保留15到20年，那么至少使用256位加密。即使量子計算機到來，也能保證數據安全。幸運的是，當今的芯片可以支持這種級別的加密。使用AES(高級加密標準)操作就可以做到這一點。這只是更改軟件以適應密鑰長度的問題。”

非對稱加密(其中一個密鑰用于加密消息，而另一個密鑰用于解密消息)則更具挑戰性。這是用于通信的加密類型，也稱為公鑰基礎設施。

他表示，這種加密技術的下一階段發展仍在進行中。他說：“我們仍在等待美國國家標準技術研究所(NIST)和學術界真正致力于提供在后量子計算時代中進行非對稱加密的機制。我們在等待相關標準。不僅僅是英特爾公司，全世界都在等待標準。因為在量子計算技術出現之后，數據中心領域將需要新的標準。”

但是創建新的加密算法，進行測試、創建標準，并獲得業界的認可，然后部署，這一過程需要長達數年的時間。而新的加密算法需要適用于當前使用的協議。

他說：“但是誰知道這些新算法會是什么樣子呢?”

他建議，著眼未來的數據中心管理人員應首先轉向256位加密以保護存儲。對于通信中使用的非對稱加密，更長的密鑰可以為未來的應用提供足夠的安全性。

他說，“沒人知道量子計算機何時會出現，這個時間可能是5到8年之后。”