硬件安全模块和存储信用卡号
hardware security modules and storing credit card numbers
目前正在处理一个需要信用卡存储的项目。为了符合 PCI-DSS 1 级标准,必须使用 HSM 对信用卡号进行加密。
使用 HSM 与自行加密有何不同?
如果加密数据被盗,并且该人获得了访问权限
到项目代码,这不会危及加密数据
不考虑 HSM 使用或自加密?
一旦发生入侵,HSM如何检测并报警?
我要求获得一个总体方向,以开始我的研究,以了解要获得哪种类型的 HSM 以及如何安全地实施它。
How does the use of an HSM differ from a self brewed encryption?
回答我这个....你建议如何安全地存储你的密钥在你自己的加密中?
正如古老的 IT 谚语所说... "cryptography is hard, don't try to re-invent the wheel unless you REALLY know what you're doing, and even then, only do so if you REALLY have to".
HSM 是 public 密钥加密(和签名)。私钥保存在 HSM 上,永远不会离开。制造商明确且故意不提供任何导出私钥的方法。
您使用 public 密钥加密数据(或者更确切地说,您加密数据的对称密钥),并通过 [=41] 解密数据(或者更确切地说,您解密数据的对称密钥) =].
If the encrypted data has been stolen, and said person gains access to
the project code, wouldn't this compromise the encrypted data
regardless of HSM usage or self encryption?
没有。他们仍然需要访问 HSM 硬件。
因为您使用 HSM 加密静态数据,所以他们拥有的只是加密数据。
当然,如果他们侵入您的网络并在服务器上花费一些时间,他们可能会找到一种方法在您 运行 您的 encrypt/decrypt 进程中嗅探数据。但在那种情况下,你会陷入老话 "with physical access, its Game Over in IT security".
一切都与分层安全有关。 HSM 是核心。您需要在其之上构建额外的安全层。
In the event of intrusion, how does HSM detect and alert?
HSM activity 是完全可审计的。使用这些数据取决于您和您的 IDS 和日志监控系统!
更好的商业 HSM 设备还允许您设置诸如解密速率限制之类的东西,以减缓潜在黑客的速度。
In the event of intrusion, how does HSM detect and alert?
HSM 有自己的篡改保护、检测系统。当有人试图物理访问 HSM 时,它会自动删除主密钥。因为防篡改,不会有更多对攻击者有用的敏感数据
目前正在处理一个需要信用卡存储的项目。为了符合 PCI-DSS 1 级标准,必须使用 HSM 对信用卡号进行加密。
使用 HSM 与自行加密有何不同?
如果加密数据被盗,并且该人获得了访问权限 到项目代码,这不会危及加密数据 不考虑 HSM 使用或自加密?
一旦发生入侵,HSM如何检测并报警?
我要求获得一个总体方向,以开始我的研究,以了解要获得哪种类型的 HSM 以及如何安全地实施它。
How does the use of an HSM differ from a self brewed encryption?
回答我这个....你建议如何安全地存储你的密钥在你自己的加密中?
正如古老的 IT 谚语所说... "cryptography is hard, don't try to re-invent the wheel unless you REALLY know what you're doing, and even then, only do so if you REALLY have to".
HSM 是 public 密钥加密(和签名)。私钥保存在 HSM 上,永远不会离开。制造商明确且故意不提供任何导出私钥的方法。
您使用 public 密钥加密数据(或者更确切地说,您加密数据的对称密钥),并通过 [=41] 解密数据(或者更确切地说,您解密数据的对称密钥) =].
If the encrypted data has been stolen, and said person gains access to the project code, wouldn't this compromise the encrypted data regardless of HSM usage or self encryption?
没有。他们仍然需要访问 HSM 硬件。
因为您使用 HSM 加密静态数据,所以他们拥有的只是加密数据。
当然,如果他们侵入您的网络并在服务器上花费一些时间,他们可能会找到一种方法在您 运行 您的 encrypt/decrypt 进程中嗅探数据。但在那种情况下,你会陷入老话 "with physical access, its Game Over in IT security".
一切都与分层安全有关。 HSM 是核心。您需要在其之上构建额外的安全层。
In the event of intrusion, how does HSM detect and alert?
HSM activity 是完全可审计的。使用这些数据取决于您和您的 IDS 和日志监控系统!
更好的商业 HSM 设备还允许您设置诸如解密速率限制之类的东西,以减缓潜在黑客的速度。
In the event of intrusion, how does HSM detect and alert?
HSM 有自己的篡改保护、检测系统。当有人试图物理访问 HSM 时,它会自动删除主密钥。因为防篡改,不会有更多对攻击者有用的敏感数据