ANSI X9.24-1-2017标准定义了密钥组件或共享的加载以及明文密钥的加载要求。该标准的其他部分介绍了加密密钥的加载。
作为最低要求,任何人都不可能在密钥加载过程中重建甚至部分重建最终密钥。
ANSI X9.24-1-2017要求键加载使用特定格式记录在日志中。除其他事项外,还需要密钥标识符来命名密钥。
ANSI X9.24-1-2017要求在加载密钥之前验证将用于接收要加载的密钥的系统的完整性。接收密钥的容器系统( 密钥加载设备、SCD、存储介质和TEA包等)必须仅提供给授权人员。这就是说,在任何情况下,未经授权的人员都不得在短时间内运输集装箱。
建议在授权人员拥有的容器中,直到其到达最终目的地为止。那时,它们应该被存储或销毁。
对于明文密钥,仅必须使用SCD。例如,源SCD将把密钥注入目标目的地SCD。因此,必须将源SCD视为密钥加载设备(KLD)。在这种情况下,执行注射时必须有双重控制。
如果使用相同的密钥加载设备将密钥注入多个设备,则还必须检查密钥的唯一性。还应计算密钥检查值以执行其他检查。
密钥注入设施(KIF)是一种具有精确精确的安全措施的受控设施,其中通过使用特殊设备(例如密钥加载设备)加载安全密钥来定制电子支付终端或银行智能卡(个性化中心)之类的设备。这是根据严格定义的操作程序完成的。
KIF具有物理安全性,逻辑访问控制以及通常进行的各种监视。
在密钥注入设施中使用密钥加载设备时,ANSI X9.24-1-2017需要进行以下检查:
检查电缆、SCD和相关硬件,以确保没有篡改的迹象;
使用双重控制;
确认没有监视设备来记录授权用户与密钥装入器或SCD之间的交互;
确保目标设备的身份和完整性;
记录密钥注入的相关详细信息(日期等);
提供没有被篡改的保险。
密钥加载设备内的密钥加载必须在密钥注入设备内进行。然而,可以使用密钥加载设备在密钥注入设施之外注入密钥。在这种情况下,ANSI X9.24-1-2017规定了以下检查:
必须检查KLD的身份;
操作员必须确保它是正确使用的KLD。
对密钥注入设施中使用的KLD执行相同的检查。
ANSI X9.24-1-2017标准规定,当使用密钥加载设备、SCD或存储介质在目标目的地SCD内注入密钥时,必须进行几项检查。必须理解,这些是最低限度的要求,当然,执行这类关键加载任务的金融机构还有若干附加要求。
Thales的payShield 10K是满足您PCI HSM的最佳选择。点击此处,查看支持和符合ANSI X9.24标准的payShield 10K HSM(金融加密机)
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!