什么是双层加密架构?
KeyMe 采用业界领先的 KEK/DEK 双层加密架构,这是一种经过验证的安全设计模式,被广泛应用于银行、政府机构和大型科技公司的安全系统中。
KEK 和 DEK 的关系
在 KeyMe 的加密架构中:
- KEK (Key Encryption Key):密钥加密密钥,从您的 PIN 码派生而来。KEK 用于加密和解密 DEK,但从不直接用于加密数据。
- DEK (Data Encryption Key):数据加密密钥,是真正用于加密您所有数据的密钥。DEK 是随机生成的,每个用户唯一。
为什么需要双层加密?
双层加密架构的核心优势在于:
- 密钥分离:即使攻击者获得了加密后的 DEK,没有 KEK 也无法解密。
- 灵活更新:当您更换 PIN 码时,只需用新的 KEK 重新加密 DEK,无需重新加密所有数据。
- 多重保护:支持 PIN 码和生物识别两种解锁方式,但都基于同一个 DEK。
加密流程详解
当您首次使用 KeyMe 时:
- 系统随机生成一个 32 字节的 DEK
- 从您的 PIN 码通过 KDF(密钥派生函数)生成 KEK
- 使用 KEK 加密 DEK,并将加密后的 DEK 存储在设备上
- 使用 DEK 加密所有密码、证件等敏感数据
安全性保障
KeyMe 的双层加密架构确保了:
- ✅ 服务器零信任:即使数据存储在服务器上,服务器也无法解密,因为 DEK 只存储在您的设备上
- ✅ PIN 码保护:没有正确的 PIN 码,无法派生 KEK,也就无法解密 DEK
- ✅ 生物识别增强:生物识别提供便利,但安全性仍基于 PIN 码
- ✅ 符合标准:采用 AES-256 加密算法,这是全球政府和银行信赖的标准
总结
KeyMe 的双层加密架构不是营销噱头,而是经过严格设计和验证的安全方案。它确保了即使是最敏感的数据,也能得到最高级别的保护。您的密码就是您的钥匙,只有您拥有它。