上述的密钥管理服务仅提供密钥的存取,拿到密钥后如何正确的操作保证密钥和磁盘数据不丢失,这就是TKS1(An anti-forensic, two level, and iterated key setup scheme)密钥管理方案关注的点。同时TKS1还会关注当密钥并非从可信的服务方获取,而是用户配置时,怎样处理用户配置的弱熵密码。
用户设置的密码如果直接用于密钥的加密,因为其弱熵的属性,易被hacker攻破,因此不能直接用于加密master key。TKS1设计了PBKDF2(password based key derive function 2)算法用于生成加密master key的密钥。PBKDF2主要目标是解决两个密码学问题,一是防止用户穷举固定长度(比如12位)的密码并预先通过PBKDF2计算所有密钥并保存到字典,在破解时直接读取字典条目作为可能的密钥进行验证(字典攻击)。二是防止用户通过不断尝试密码暴力破解;