功能定位:主密钥在 SafeW 体系中的角色
SafeW 将“主密钥”设计为解锁加密保险库(Encrypted Vault)的唯一根凭证,本地不存明文,云端仅保留抗量子哈希。一旦遗失,等同于失去对保险库内证书、策略模板、审计私钥的完全控制。为降低单点风险,官方自 v6.0 起把“恢复”拆成三条互斥通道:恢复码、管理员重设、量子签名回滚,优先级依次降低,彼此无法同时启用,防止绕过。
版本演进:三条通道的开放节奏
v6.0 仅开放恢复码;v6.1 引入“管理员重设”,但需双因子审批;v6.3 量子加密同步 Beta 上线后,才允许用 CRYSTALS-Dilithium 公钥回滚近 7 日内的主密钥版本。若公司策略关闭量子实验,回滚入口即隐藏,可在控制台“加密策略→量子算法”验证开关状态。
如何判断自己能用哪条通道
- 登录 SafeW 桌面端→右上角头像→关于,若内部版本号≥6.3.0 且“量子同步”显示已启用,则三条通道全部可用;
- 若版本≥6.1 但<6.3,只能恢复码或管理员重设;
- 版本=6.0 或策略显式禁用“管理员重设”,则仅剩恢复码一条路。
示例:在 6.2.1 的客户端里,“量子回滚”按钮不会渲染,控制台也不会出现对应菜单,这是版本门槛而非权限不足。
通道一:恢复码自救(零依赖,最快)
操作路径(最短)
桌面端:登录页→“忘记主密钥”→输入 24 位恢复码(含连字符)→立即重设→下载新的加密配置文件。移动端暂不支持恢复码输入,需先在桌面端完成,再扫码同步。
边界与副作用
恢复码只在生成主密钥时提供一次,遗失即失效;使用一次后,旧主密钥立即被循环覆盖,所有已分享的外链需重新授权。经验性观察:若保险库内文件>5 000 条,重授权流程大约需要 3-5 分钟,期间外链处于“只读锁定”状态,不会丢数据但无法更新。
通道二:管理员重设(企业常用)
触发条件
租户管理员在控制台“用户→详情→密钥管理”点击“重设主密钥”,系统会强制要求二次审批:第一审批人需租户 Owner,第二审批人可以是安全合规角色。两次审批间隔≥30 分钟,防止冒用。
可复现验证
审批完成后,用户首次登录会弹出“托管重设向导”,需绑定新手机令牌+重新下载配置文件。整个流程在控制台“审计→密钥事件”生成两条记录:AdminResetApply 与 AdminResetComplete,可用于合规举证。
何时不该用
若保险库已开启“个人模式”(Personal Vault),管理员重设按钮置灰,必须走恢复码或量子回滚;否则违背《个人信息保护法》最小授权原则。
通道三:量子签名回滚(技术兜底)
适用场景
用户同时满足:① 已开启量子加密同步 ② 近 7 日内在某台设备成功解锁过保险库 ③ 拥有当初生成的 CRYSTALS 公钥二维码。该通道相当于把“旧主密钥”用抗量子算法再次封装,允许一次性回滚到指定历史版本。
操作细节
桌面端:登录页→“高级恢复”→“量子签名回滚”→扫码公钥→选择回滚点→输入 NFC-HSM PIN→完成。若二维码扫描失败,经验性观察:关闭系统“低电量模式”、屏幕亮度>80% 或换 600 dpi 打印件可提升识别率。
风险控制
回滚后,7 日内的新增文件将暂时不可见,需要手动执行“版本合并”才能解密。若公司策略要求“零数据丢失”,建议先在测试库演练一次,确认合并耗时与业务窗口匹配。
失败分支与回退方案
恢复码输错 5 次会锁定 24 小时;管理员重设被拒两次则进入 72 小时冷却;量子回滚若选错历史点,可在 30 分钟内“撤销回滚”,超过时限需重新提交。所有失败事件均触发邮件+短信双通道告警,确保用户第一时间感知。
兼容性对照表:客户端 vs 恢复通道
| 客户端/版本 | 恢复码 | 管理员重设 | 量子回滚 |
|---|---|---|---|
| 桌面端 ≥6.3 | ✔ | ✔ | ✔ |
| 桌面端 6.1-6.2 | ✔ | ✔ | ✖ |
| 移动端 ≥6.3 | ✖(需桌面完成) | ✔ | ✖ |
最佳实践:把“忘记”变成可演练流程
- 每季度在测试租户模拟一次“恢复码遗失+管理员重设”完整闭环,记录耗时与业务中断分钟数;
- 为高管团队打印量子公钥二维码并封存保险柜,确保断网环境也能扫码;
- 在控制台设置“恢复事件”Webhook,自动推送至 SOC,确保审计链路闭环。
演练后把 RTO(恢复时间目标)写入运维手册,真正事故发生时就能按表操课,而非临时拼凑。
FAQ:密钥恢复常见疑问
恢复码遗失还能找回吗?
不能。恢复码仅生成一次,本地不存副本,官方也无法逆向。此时只能走管理员重设或量子回滚。
量子回滚失败提示“无可用历史点”?
说明近 7 日无成功解锁记录,或量子同步被关闭。可尝试先让同事在其设备登录一次,次日再回滚。
管理员重设后,旧外链会失效吗?
不会立即失效,但下载时需要重新授权。建议在重设后批量更新一次分享口令,避免业务中断。
收尾:下一步行动清单
先确认客户端版本与策略,再选最省时的恢复通道;恢复后立刻备份新的恢复码与量子公钥,并在测试环境演练一次。把“忘记主密钥”从紧急事件变成可预期的标准流程,SafeW 加密保险库才能真正做到“数据进得去、拿得出、丢不了”。
未来版本观察:官方 roadmap 提及 v6.4 可能把量子回滚窗口从 7 日延长至 30 日,并支持自动合并增量数据,可减小“文件暂不可见”的空档。建议持续关注 Release Note,提前评估策略变更对演练脚本的影响。