微软发布Double Key Encryption新特征

7月21日，微软官方发布了Microsoft 365新的安全特征的首次公开预览版——Double Key Encryption（双密钥加密）。

微软称，双密钥加密可以在完全控制加密密钥的同时来保护高度敏感的数据。顾名思义，双密钥加密使用了2个密钥来保护数据，其中一个密钥是用户控制的，另一个密钥安全地保存在Microsoft Azure中。

要访问双密钥加密保护的数据需要有2个密钥的访问权限。因为微软只能访问其中1个密钥，因此受保护的数据对微软来说是不可访问的，使得可以完全控制数据的隐私和安全。

微软称该新特征是为受到特殊监管的行业设计的，比如金融服务行业、医疗行业、以及那些需要将敏感数据安全地存储到云端的企业，比如商业秘密、专利、金融算法、用户数据等。这些敏感数据必须要最高等级的保护才能满足监管需求和内部协议。

下面是2个双重密钥加密的场景示例：

场景1：敏感的知识产权

Contoso公司想要将其敏感数据迁移到云端，但在迁移到云端的过程中一些市场领先的药物配方需要保证机密性和安全。使用云服务商提供的密钥来加密数据还不能达到Contoso的安全保证的要求，因为云服务提供商可能会授权第三方来访问数据，运营者也可能会解密敏感数据（比如在技术支持的过程中）。在这种情况下，Contoso可以用自己的密钥来加密敏感数据内容，然后再用云服务商的密钥进行二次加密。

场景2：监管环境

某政府机构想要通过云平台与合作供应商分享一些机密信息。根据监管政府数据政策，政府机构需要确保这些信息对第三方是不可见的。政府机构可以用Double Key Encryption加密内容，然后通过云平台分享加密后的数据，这样既可以确保云服务无法访问内容，但特定的接收者可以访问。

Double Key Encryption也融入了Azure Information Protection统一标记能力，确保了租户可以创建多个DKE标签，用不同的加密密钥来保护数据，根据用户权限来设置和应用不同的组策略和访问限制。

图1 在office 365中用Double Key Encryption创建标签

一旦应用了标签，用户就可以对任意文档进行激活，在office 365账号内自动加密和保护文件。

图2 用Double Key Encryption在Word中进行标记

更多技术细节参见：https://docs.microsoft.com/zh-cn/microsoft-365/compliance/double-key-encryption?view=o365-worldwide

代码参见GitHub页面：https://github.com/Azure-Samples/DoubleKeyEncryptionService

本文来源于互联网