加密是保护数据的有效方法，但必须仔细管理加密密钥，以确保数据受到保护，并在需要时可访问。应监控对加密密钥的访问，并将其限制为绝对需要使用它们的人。

    组织应制定策略，在其整个生命周期内管理加密密钥，并保护它们免遭盗窃、丢失或误用。此过程应从审核开始，以确定组织当前如何配置、控制、监控和管理对其密钥的访问。

    密钥管理软件可以帮助集中密钥管理，并保护密钥免受未经授权的访问、替换或修改。

    密钥包装是某些密钥管理软件套件中的一种安全功能，它本质上是单独或批量加密组织的加密密钥。解密已包装的密钥的过程称为解包。密钥包装和解包活动通常使用对称加密进行。

加密算法

    有多种对称和非对称密码可用于加密数据。这些算法的复杂程度和它们保护数据的确切方法各不相同。以下是多年来使用的一些更常见的算法：

· AES 的。美国政府选择的对称分组密码，用于保护机密信息。它在全球范围内的软件和硬件中实现，以加密敏感数据。美国国家标准与技术研究院 （NIST） 于 1997 年开始开发 AES，当时它宣布需要数据加密标准 （DES） 的后续算法，该算法开始容易受到暴力攻击。

· DES 的。过时的数据加密对称密钥方法。DES 的工作原理是使用相同的密钥来加密和解密消息，因此发送方和接收方都必须知道并使用相同的私钥。DES 已被更安全的 AES 算法取代。

· Diffie-Hellman 密钥交换。一种对称算法，它使用提高到特定幂的数字，根据从未直接传输的组件生成解密密钥，从而使潜在密码破译者的任务在数学上不堪重负。Diffie-Hellman 密钥交换也称为指数密钥交换。

· 椭圆曲线密码学 （ECC）。一种非对称密码，它使用代数函数在密钥对之间生成安全性。生成的加密算法可以更快、更高效，并且可以使用较短的加密密钥产生相当级别的安全性。这使得ECC算法成为物联网 （IoT） 设备和其他计算资源有限的产品的不错选择。

· 量子密钥分发 （QKD）。可用作对称密码和半对称密码。QKD算法是一种借助量子力学对数据进行加密的方法。加密密钥是使用一对纠缠光子生成的，然后与数据分开传输。量子纠缠使发送方和接收方能够在传输到达之前就知道加密密钥是否已被拦截或更改。这是因为，在量子领域，观察传输信息的行为会改变它。一旦确定加密是安全的且未被拦截，就会允许通过公共 Internet 通道传输加密消息。

· RSA 的。1977 年，麻省理工学院的 Ron Rivest、Adi Shamir 和 Leonard Adleman 首先公开描述了不对称密码。英国数学家克利福德·考克斯 （Clifford Cocks） 于 1973 年创建了一种公钥算法，但英国政府通信总部将其保密直到 1997 年。许多协议，如安全外壳 （SSH）、OpenPGP、安全/多用途 Internet 邮件扩展和安全套接字层/传输层安全性 （TLS） -- 都依赖 RSA 实现加密和数字签名功能。

· 两条鱼。对称密钥分组密码，其块大小为 128 位，可变长度密钥大小为 128、192 或 256 位。该算法针对 32 位中央处理器进行了优化，是开源的，可免费获得。Twofish通过使用 S-box（一种预先计算的、依赖于密钥的替换框）从其他加密算法中脱颖而出。S-box 掩盖了密钥和密文之间的关系，尽管它仍然依赖于密匙密钥来解密数据。

流行的加密算法和哈希函数

    加密提供的安全性与用于加密数据的密码类型以及用于将密文转换为明文的解密密钥的强度直接相关。在美国，只要需要加密服务，就应该使用根据 NIST 的联邦信息处理标准批准的加密算法。

实施加密

    组织采用多种方法来加密数据。他们使用的方法取决于他们的环境、数据类型、他们试图实现的保护级别和其他变量。以下是他们在实施加密时使用的一些策略：

· 自带加密 （BYOE）是一种云计算安全模型，它使云服务客户能够使用自己的加密软件并管理自己的加密密钥。BYOE 也称为自带密钥。BYOE 的工作原理是使客户能够将自己的加密软件的虚拟化实例与他们在云中托管的业务应用程序一起部署。

· 云存储加密是云存储提供商提供的一项服务，它使用加密算法转换数据或文本，然后将其放置在云存储中。云加密与内部加密几乎相同，但有一个重要区别：云客户必须花时间了解提供商的加密和加密密钥管理策略和程序，以将加密与所存储数据的敏感度相匹配。

· 列级加密是一种数据库加密方法，其中特定列的每个单元格中的信息具有相同的密码，用于访问、读取和写入目的。

· 可否认加密是一种加密技术，它支持以两种或多种方式解密加密数据，具体取决于使用的解密密钥。当发件人预期甚至鼓励拦截通信时，可否认加密有时会用于错误信息目的。

· 加密即服务是一种订阅模式，使云服务客户能够利用加密提供的安全性。这种方法为缺乏资源自行管理加密的客户提供了一种解决监管合规性问题并在多租户环境中保护数据的方法。云加密产品通常包括全盘加密 （FDE）、数据库加密或文件加密。

· 端到端加密 （E2EE）保证拦截通信通道的攻击者无法查看在两方之间发送的数据。在 Web 客户端和 Web 服务器软件之间使用 TLS 提供的加密通信电路并不总是足以确保 E2EE;通常，传输的内容在传递到 Web 客户端之前由客户端软件加密，并且仅由接收方解密。提供 E2EE 的消息应用程序包括 Meta 的 WhatsApp 和 Signal。Facebook Messenger 用户还可以通过“秘密对话”选项获得 E2EE 消息。

· FDE是硬件级别的加密。FDE 的工作原理是自动将存储驱动器上的数据加密为没有密钥撤消转换的任何人都无法理解的形式。如果没有正确的身份验证密钥，即使驱动器被移除并放置在另一台机器上，数据仍然无法访问。FDE 可以在制造时安装在计算设备上，也可以稍后通过安装特殊软件来添加。

· 字段级加密是加密网页上特定字段中数据的能力。可以加密的字段示例包括信用卡号、社会保险号、银行账号、健康相关信息、工资和财务数据。选择字段后，该字段中的所有数据都会自动加密。

· 同态加密是将数据转换为密文的过程，可以像保持原始形式一样进行分析和处理。同态加密方法支持对加密数据执行复杂的数学运算，而不会影响加密。

· HTTPS通过在 TLS 协议上运行 HTTP 来启用网站加密。要使 Web 服务器能够加密它发送的所有内容，必须安装公钥证书。

· 链路级加密在数据离开主机时对其进行加密;在下一个链接（可能是主机或中继点）对其进行解密;然后在将其发送到下一个链接之前对其进行重新加密。每个链接可能使用不同的密钥甚至不同的算法进行数据加密，并且该过程会重复，直到数据到达接收者。

· 网络级加密在网络传输层应用加密服务 -- 高于数据链路级别，但低于应用程序级别。网络加密是通过 IP 安全实现的，IP 安全是一组开放的Internet 工程任务组标准，当结合使用时，可为通过IP网络进行私有通信创建一个框架。

· 量子密码学依靠粒子的量子力学特性来保护数据。特别是，海森堡不确定性原理假设粒子的两个识别属性 -- 它的位置和它的动量 -- 如果不改变这些属性的值，就无法测量。因此，无法复制量子编码的数据，因为任何访问编码数据的尝试都会更改数据。同样，任何复制或访问数据的尝试都会导致数据发生变化，从而通知加密的授权方发生了攻击。