如何正确做私钥pipe理

是否有人获得实践经验或参考实施符合PCI DSS安全标准的密钥pipe理scheme?

考虑到符合PCI DSS的公司数量,显然有相当多的实施,但试图find它们的细节是艰难的。 当它下降到存储私人数据时,讨论通常停止在使用哪种encryptionalgorithm。 之后,通常会有一个关于正确存储私钥的声明,但是没有讨论实际的方法来做这件事,或者像定期更换密钥或者提供应用程序的密钥之类的东西。

具体而言,我对PCI DSS标准第3.5节和第3.6节的要求感兴趣。

3.5.2将密钥安全地保存在尽可能less的位置和表格中。

3.6.avalidation用于encryption持卡人数据的密钥是否存在密钥pipe理程序。 注:关键pipe理的许多行业标准可以从各种资源中获得,包括NIST,可以在http://csrc.nist.govfind。

3.6.4validation密钥pipe理程序是否至less每年要求定期更换密钥。

根据PCI DSS要求文件的build议,我已经看了NISTencryption出版物 ,但除了最近的encryption密钥pipe理研讨会logging之外 ,似乎没有太多的真正可实施的scheme或标准。

至于我想做的事情不是:

  1. 存储密码+盐作为authentication的一种方式,
  2. select一个强大的数据encryptionsymmtericalgorithm,
  3. 避免首先存储私人数据。
  4. 避免使用其他机制进行密钥pipe理:物理安全,数据库安全,龙和向导等。

所有这些都是有效的担忧,但在这种情况下不是答案。 我的要求的坚果和螺丝是在一个不同的SO问题。networkingdevise模式存储和检索敏感的每个用户的数据,但这一切都归结为密钥pipe理,因此这个更精致的问题。

我熟悉你正在经历的痛苦。 我们努力将旧的EFT系统更新为符合PCI标准。 当然,从我的软件angular度来看,密钥pipe理是最具挑战性的部分。

我想我也偶然发现了马丁发布的关于NIST关键pipe理的build议 ,并由于缺乏具体的例子而感到非常沮丧。

ANSI X9.17 – 金融机构密钥pipe理可能是与您的需求最相关的PCI-DSS。 祝你好运,阅读它虽然,该文件是TLA的大量收集,我知道我当然努力阅读。

当挫折转向绝望时,我偶然发现了一个虚构的故事“电子货币磨坊 ”,并有大量的相关技术参考。 第17章讨论X9.17,可能有助于理解。

从所有这些参考资料中,我devise了一个核心pipe理系统,我们的审核员对此感到满意。 devise文档相当长,但总的来说,您的想法是您的数据encryption密钥受密钥encryption密钥保护,并且密钥encryption密钥存储在物理上独立的盒子上,盒子本身受到主密钥的保护。

我的实现是在Windows系统上运行密钥服务器应用程序。 此应用程序需要input两个独立的“密钥服务器主密钥”才能使用。 这些密钥只有关键的服务器pipe理员才能知道。 这些密钥被放在一起生成主密钥,只有在应用程序正在运行时才存储在受保护的内存中。 然后,应用程序可以自动生成密码强的密钥encryption密钥,密钥encryption密钥使用主密钥以encryptionforms存储。

需要encryption的应用程序将向密钥服务器请求密钥encryption密钥。 应用程序使用KEK来encryption/解密数据encryption密钥,数据encryption密钥可以使用应用程序数据安全地存储。

祝你好运。 我希望你也能find一个有趣的挑战!

你见过NIST SP 800-57 ,关键pipe理推荐吗?