密钥管理服务商的会议邀请,是以“安全合规交流”的名义发出来的。
邀请名单很讲究:省政务云、几家银行科技部、审计信息化、还有协会的“安全专家”。
表面上全是对事不对人:
“讨论公钥发布、证书轮换、时间戳服务可靠性。”
但林远一眼就看穿:
他们要的不是安全,他们要的是钥匙。
因为在省版刻度体系里,最硬的不是页面,不是话术,而是三件东西:
pubkey_id:公钥是谁发布的
key_ver:密钥什么时候轮换、由谁确认
change_id:版本变更谁了算
只要他们把“密钥托管”变成事实标准,下一步就是:
“为了安全,更新必须经过托管方审核。”
再下一步就是:
“托管方拥有解释权。”
最后就是:
更新权俘获。
刘曼看完邀请函,火气压不住:“这就是平台俘获的前奏!他们拿‘安全’当遮羞布。”
何经理也沉着脸:“银行科技部对‘第三方托管’然有好感,因为出了事可以甩锅。你不提前把规则清楚,明他们就会:‘为了安全,我们必须交给托管。’”
林远没有反对“安全”,他反对的是“把安全外包成权力”。
他在白板上写下八个字:
安全可以托管,更新不能托管。
又写下新编号:
KEY-SoV-01|密钥主权条款
hSm-AUdIt-01|硬件密钥审计
dUAL-SIGN-01|双签发布机制
会议当,林远没有去讲“他们坏”。
他直接把KEY-SoV-01放在桌上,像放一份合同:
1)密钥可在hSm托管(硬件安全模块),但hSm必须由政务云可控域持有;
2)任何key_ver轮换必须满足dUAL-SIGN-01双签:政务云安全官 + 省版治理委员会共同签发;
3)托管服务商只提供硬件与运维,不得单方发布、不得单方回滚、不得单方冻结;
4)每次轮换必须出具hSm-AUdIt-01审计旁听回执,公开摘要可验。
对方“安全专家”笑着提问:“双签会不会降低效率?如果发生紧急事件,单方快速回滚更安全。”
林远只回一句:“快速回滚是安全,但单方回滚是权力。权力必须双签。”
银行科技部的人开始犹豫:“那如果托管方他们有更成熟的托管体系?”
林远点头:“成熟可以采购,权力不能外包。你可以买他们的柜子,但钥匙必须在我们手里。你把钥匙交出去,成熟也会变成锁。”
这句话很平,但击中银行饶痛点——
银行最懂“托管”二字背后是什么:谁控制钥匙,谁控制责任。
更爽的反杀来自审计旁听的人,他把话得更硬:
“如果托管方能单方发布key_ver,那未来任何争议,托管方都能:‘你们用的是旧key,我回滚过。’证据链会被污染。证据链一被污染,所有人一起死。”
会议室里终于安静下来。
最后,省政务云负责人开口:“双签可校hSm我们可以买,但密钥主权必须写进合同。托管方只做设备与运维,不做发布。”
那一刻,更新权这条命脉被锁住了。
对手想抢钥匙,抢到一半,被KEY-SoV-01当场按住手腕。
喜欢重生2005:我在惠州买地皮请大家收藏:(m.pmxs.net)重生2005:我在惠州买地皮泡沫小说网更新速度最快。