ANSI X9.24-1-2017标准定义了密钥组件或共享的加载以及明文密钥的加载要求。该标准的其他部分介绍了加密密钥的加载。

作为最低要求，任何人都不可能在密钥加载过程中重建甚至部分重建最终密钥。

ANSI X9.24-1-2017要求键加载使用特定格式记录在日志中。除其他事项外，还需要密钥标识符来命名密钥。

加载密钥组件或共享

ANSI X9.24-1-2017要求在加载密钥之前验证将用于接收要加载的密钥的系统的完整性。接收密钥的容器系统（ 密钥加载设备、SCD、存储介质和TEA包等）必须仅提供给授权人员。这就是说，在任何情况下，未经授权的人员都不得在短时间内运输集装箱。

建议在授权人员拥有的容器中，直到其到达最终目的地为止。那时，它们应该被存储或销毁。 

对于明文密钥，仅必须使用SCD。例如，源SCD将把密钥注入目标目的地SCD。因此，必须将源SCD视为密钥加载设备（KLD）。在这种情况下，执行注射时必须有双重控制。

如果使用相同的密钥加载设备将密钥注入多个设备，则还必须检查密钥的唯一性。还应计算密钥检查值以执行其他检查。

通过密钥注入设施中的KLD加载密钥

密钥注入设施（KIF）是一种具有精确精确的安全措施的受控设施，其中通过使用特殊设备（例如密钥加载设备）加载安全密钥来定制电子支付终端或银行智能卡（个性化中心）之类的设备。这是根据严格定义的操作程序完成的。

KIF具有物理安全性，逻辑访问控制以及通常进行的各种监视。

在密钥注入设施中使用密钥加载设备时，ANSI X9.24-1-2017需要进行以下检查： 

• 检查电缆、SCD和相关硬件，以确保没有篡改的迹象；
  

• 使用双重控制；

• 确认没有监视设备来记录授权用户与密钥装入器或SCD之间的交互；

• 确保目标设备的身份和完整性；

• 记录密钥注入的相关详细信息（日期等）；

• 提供没有被篡改的保险。

通过密钥注入设施外部的KLD加载密钥

密钥加载设备内的密钥加载必须在密钥注入设备内进行。然而，可以使用密钥加载设备在密钥注入设施之外注入密钥。在这种情况下，ANSI X9.24-1-2017规定了以下检查：

• 必须检查KLD的身份；
  

• 操作员必须确保它是正确使用的KLD。
  

• 对密钥注入设施中使用的KLD执行相同的检查。
  

摘要

ANSI X9.24-1-2017标准规定，当使用密钥加载设备、SCD或存储介质在目标目的地SCD内注入密钥时，必须进行几项检查。必须理解，这些是最低限度的要求，当然，执行这类关键加载任务的金融机构还有若干附加要求。 

Thales的payShield 10K是满足您PCI HSM的最佳选择。点击此处，查看支持和符合ANSI X9.24标准的payShield 10K HSM（金融加密机）

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 汽车领域的密钥管理

• 保护您的数字堡垒 - SSH密钥：现代网络安全中的安全4.0

• SOC 2合规性：您需要了解的内容和需要做的事情

• Thales与LuxTrust：数据主权和合规性的合作伙伴关系

• Thales Luna HSM荣获第一家FIPS140-3 Level 3验证的硬件安全模块