第516章 密钥托管与更新权狙击（2/2）

KEY-SOV-01｜密钥主权条款

HSM-AUDIT-01｜硬件密钥审计

DUAL-SIGN-01｜双签发布机制

会议当天，林远没有去讲“他们坏”。

他直接把KEY-SOV-01放在桌上，像放一份合同：

1）密钥可在HSM托管（硬件安全模块），但HSM必须由政务云可控域持有；

2）任何key_ver轮换必须满足DUAL-SIGN-01双签：政务云安全官 + 省版治理委员会共同签发；

3）托管服务商只提供硬件与运维，不得单方发布、不得单方回滚、不得单方冻结；

4）每次轮换必须出具HSM-AUDIT-01审计旁听回执，公开摘要可验。

对方“安全专家”笑着提问：“双签会不会降低效率？如果发生紧急事件，单方快速回滚更安全。”

林远只回一句：“快速回滚是安全，但单方回滚是权力。权力必须双签。”

银行科技部的人开始犹豫：“那如果托管方说他们有更成熟的托管体系？”

林远点头：“成熟可以采购，权力不能外包。你可以买他们的柜子，但钥匙必须在我们手里。你把钥匙交出去，成熟也会变成锁。”

这句话很平，但击中银行人的痛点——

银行最懂“托管”二字背后是什么：谁控制钥匙，谁控制责任。

更爽的反杀来自审计旁听的人，他把话说得更硬：

“如果托管方能单方发布key_ver，那未来任何争议，托管方都能说：‘你们用的是旧key，我回滚过。’证据链会被污染。证据链一被污染，所有人一起死。”

会议室里终于安静下来。

最后，省政务云负责人开口：“双签可行。HSM我们可以买，但密钥主权必须写进合同。托管方只做设备与运维，不做发布。”

那一刻，更新权这条命脉被锁住了。

对手想抢钥匙，抢到一半，被KEY-SOV-01当场按住手腕。