<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>CMEK on YennJ12 Engineering Blog</title><link>https://yennj12.js.org/yennj12_blog_V4/tags/cmek/</link><description>Recent content in CMEK on YennJ12 Engineering Blog</description><generator>Hugo -- gohugo.io</generator><language>en-us</language><lastBuildDate>Mon, 08 Jun 2026 10:00:00 +0800</lastBuildDate><atom:link href="https://yennj12.js.org/yennj12_blog_V4/tags/cmek/feed.xml" rel="self" type="application/rss+xml"/><item><title>FDE core topic - CMEK / BYOK 信封加密：自主密鑰管理與零信任加密架構</title><link>https://yennj12.js.org/yennj12_blog_V4/posts/fde-core-concept-10-cmek-byok-envelope-zh/</link><pubDate>Mon, 08 Jun 2026 10:00:00 +0800</pubDate><guid>https://yennj12.js.org/yennj12_blog_V4/posts/fde-core-concept-10-cmek-byok-envelope-zh/</guid><description>核心定義：CMEK（Customer-Managed Encryption Keys）是客戶掌控 KEK（Key Encryption Key）的信封加密架構——雲端服務商永遠只持有被加密的 DEK，而不持有明文 DEK，更不持有 KEK；即使雲端平台遭受內部威脅或法律強制，攻擊者仍無法在缺少客戶授權的情況下解密資料。
一、為什麼面試官問這個 面試官問 CMEK / BYOK，實際上在測試三件事：
安全架構縱深：候選人能否區分「平台代管密鑰（GMEK）」、「客戶代管密鑰（CMEK）」、「客戶自攜密鑰（BYOK / EKM）」三個層次的威脅模型差異？能否說清楚為什麼信封加密中 DEK 輪換不需要重新加密全部資料，只需要重新包裹 encrypted_DEK？ 效能與安全的取捨：如果每次推論都呼叫 KMS 解包 DEK，延遲會增加多少？如何用 Confidential Computing enclave 的 in-memory DEK 快取解決這個問題，而不破壞「明文 DEK 不落盤」的安全保證？ 實際整合能力：Vertex AI Vector Search、Context Cache、GCS 訓練資料如何各自掛載 CMEK？EKM 和 Dedicated Interconnect 在 BYOK 路徑中各自扮演什麼角色，兩者缺一不可嗎？ 弱答案長什麼樣：「就用 KMS 加密就好了。」沒有提到信封加密的雙層結構（DEK + KEK）、DEK 不持久化的核心設計意圖，以及 KEK 調用頻率與推論延遲的量化關係。這種回答把 CMEK 等同於「把密鑰存在 KMS」，完全遺漏了密鑰控制權歸屬的問題。
**強答案長什麼樣：**從信封加密的 DEK/KEK 分層講起，說明明文 DEK 只在 Confidential Computing enclave 的記憶體中存活、每小時輪換（= 24 次 KMS 呼叫 / 天），與數百萬次推論相比開銷不到 0.</description></item><item><title>FDE 面試指南 Part 46：高規格金融業的數據無痕化與自主密鑰管理（BYOK / CMEK in GenAI）</title><link>https://yennj12.js.org/yennj12_blog_V4/posts/fde-interview-guide-part46-byok-cmek-zh/</link><pubDate>Mon, 08 Jun 2026 09:00:00 +0800</pubDate><guid>https://yennj12.js.org/yennj12_blog_V4/posts/fde-interview-guide-part46-byok-cmek-zh/</guid><description>大多數工程師聽到「CMEK 合規」就只想到：把 Cloud KMS 打開、勾選客戶管理密鑰就完事了。 真正的挑戰在於：當 Vertex AI 向量搜索每秒發起 5,000 次 ANN 查詢、每次都要跨海解密時， 延遲從 30ms 暴增到 12 秒——合規達成了，系統卻癱瘓了。 Staff FDE 的答案是：用信封加密的 DEK/KEK 分層，讓地端 HSM 只做密鑰授權， 日常解密在 GCP Memory Enclave 裡完成，真正做到主權資安與極限性能同時成立。
面試情境 面試官： 某家公營銀行的 CISO 要求所有上傳到 Vertex AI 的 Embedding 向量和 LLM Context Cache 快照，加密密鑰必須由行內地端機房的 HSM 自主控管，絕對不能讓雲端供應商持有明文密鑰。但向量搜索的 SLA 是 P99 &amp;lt; 50ms，Context Cache 的命中率目標是 85%。你如何設計這套系統，讓合規與性能同時成立？
一、核心問題：為什麼 CMEK 在 GenAI 場景特別難 1.1 金融業的監管壓力 台灣金融監理局（FSC）、PCI DSS Level 1、以及個人資料保護法（PDPA）三重框架對金融業的加密要求達到史上最嚴格水準：
密鑰主權：加密密鑰的控制權必須留在金融機構手中，雲端供應商不得持有明文 KEK 審計可追溯：每一次密鑰使用（加密/解密/輪轉）必須留下不可竄改的操作日誌 密鑰隔離：不同業務線（個人金融、企業金融、投資銀行）的密鑰必須完全隔離 快速撤銷：監管機構要求在 15 分鐘內能夠撤銷任何密鑰的使用授權 1.</description></item></channel></rss>