问将包装密钥导出到不安全存储是否具有密码安全？

EN

1. 我之所以这样问，是因为HSM的一些供应商试图避免将包装好的密钥从HSM导出到不安全的存储存储，而这些存储并不属于这些供应商的HSM基础结构。例如，泰勒斯更喜欢备份另一个泰勒斯HSM的密钥-他们的大部分文档都是关于他们的设备之间的克隆。但是Thales在通过公共网络发送流量时有一个选择：使用远程备份服务(苏格兰皇家银行)安装的备份高速加工“…”在将备份存储在与SafeNet露娜PCIe HSM不同的位置的部署中，这对于减轻灾难性损失(火灾、洪水等)的后果非常有用。“
2. gpg2手册页如下：Note that exporting a secret key can be a security risk if the exported keys are sent over an insecure channel.
3. 从另一方面，我看到一些解决方案，如AWS CloudHSM，允许导出/包装密钥到不安全存储

让我们使用类似的方法对本文中描述的AES-256密钥包装进行HSM备份是如何工作的？，以便从某些HSM中备份256位密钥：

1. HSM生成唯一(每次备份) AES 256位密钥(使用KDF)来加密OTK (一次性或短暂密钥)的每个备份。
2. AES密钥缠绕算法: RFC 3394 (AES密钥无填充)

备份将存储在可公开读取的存储器中(没有写入/删除权限)。让我们只考虑基于密码分析、蛮力攻击或字典攻击的攻击(而不是侧通道或其他类型的攻击)。字典攻击是可能的，因为AES-256密钥的包装来自密码(根据标准的KDF)。假设密码是强的，或者在必要时可以使其足够强大。

系统中的所有密钥具有相同的策略/目的。

更新:由于字典攻击在这个问题的范围内，应该指定密码的生成:现在常见的用法是:对于很少发生的操作(比如生成用于钱包初始化的私钥或从备份中打开HSM的密钥)，使用了24个单词(chia是一个例子)。一个人可以把这些词写下来。字典包含2048 == 2^11 单词。

2^256 < (2^11)^24 ==真

应用程序为用户生成密码。词典中的每个单词都是随机(一致)选择的。用户对输入设备的操作被用作RNG的种子。生成的伪随机序列的性质将用随机性检验。

这种将包装密钥导出到不安全存储的加密安全吗？密码安全意味着攻击者无法获得纯文本的秘密(包装)密钥。

如果上述条件不够，应该修改什么？

将包装好的密钥导出到不安全的存储中是否具有加密安全性？