Thales PayShield HSM 密钥管理
Thales PayShield HSM key management
我正在阅读 PayShield 文档并在导入密钥时偶然发现了一个关于密钥管理和 LMK 的问题:
- PayShield 最多可以存储 20 个 LMK。执行命令时(如 A6 - 导入密钥),HSM 如何知道要使用哪个 LMK?作为一个参数,它只要求一个密钥类型,但不同 LMK 的密钥类型不是相同的吗(考虑到它们都是变体)?
- 命令 导入密钥 要求您提供已在 ZMK 下加密的密钥,例如,将密钥从一个 HSM 传输到另一个 HSM 时。有没有办法将明文未加密密钥导入 HSM?例如,我想到一些随机序列,然后尝试将其导入 HSM。如果没有,您能否以某种方式在 ZMK 下对其进行加密,或者必须使用适当的 HSM 命令生成所有此类新密钥?
您可以在命令本身或端口中识别 LMK。这在命令或控制台参考手册中,具体取决于命令类型。
您不能导入明文密钥,您可以由至少两个明文组件组成密钥。
LMK 可以是变体或密钥块,它是您可以存储在 payShield 上的唯一密钥。
根据您拥有的许可证,您最多可以存储 20 个 LMK。
IK(impor key)或 FK(form key)等控制台命令在 HSM 存储区域中并不是真正的“'importing'”任何东西。
您在控制台(或来自组件的表单)上生成并显示在您在命令中指定的 LMK 下加密的密钥。
您需要将它们存储在您的应用程序数据库中,并且要使用这些密钥,您需要始终使用持有 LMK 并能够使用它们的 PayShield。
您可以通过两种方式使用主机命令寻址特定的 LMK 密钥:
- 在主机命令中指定 LMK id
- 使用特定的 tpc/udp 端口与遵循此模式的主机对话:
- 端口 1500 -> 默认 LMK
- 端口 1501 -> LMK id 0
- 端口 1502 -> LMK id 1
等等。
在 A6 命令中,您有一个由“%”分隔的可选文件,之后您需要 select LMK ID。
我正在阅读 PayShield 文档并在导入密钥时偶然发现了一个关于密钥管理和 LMK 的问题:
- PayShield 最多可以存储 20 个 LMK。执行命令时(如 A6 - 导入密钥),HSM 如何知道要使用哪个 LMK?作为一个参数,它只要求一个密钥类型,但不同 LMK 的密钥类型不是相同的吗(考虑到它们都是变体)?
- 命令 导入密钥 要求您提供已在 ZMK 下加密的密钥,例如,将密钥从一个 HSM 传输到另一个 HSM 时。有没有办法将明文未加密密钥导入 HSM?例如,我想到一些随机序列,然后尝试将其导入 HSM。如果没有,您能否以某种方式在 ZMK 下对其进行加密,或者必须使用适当的 HSM 命令生成所有此类新密钥?
您可以在命令本身或端口中识别 LMK。这在命令或控制台参考手册中,具体取决于命令类型。
您不能导入明文密钥,您可以由至少两个明文组件组成密钥。
LMK 可以是变体或密钥块,它是您可以存储在 payShield 上的唯一密钥。 根据您拥有的许可证,您最多可以存储 20 个 LMK。
IK(impor key)或 FK(form key)等控制台命令在 HSM 存储区域中并不是真正的“'importing'”任何东西。
您在控制台(或来自组件的表单)上生成并显示在您在命令中指定的 LMK 下加密的密钥。
您需要将它们存储在您的应用程序数据库中,并且要使用这些密钥,您需要始终使用持有 LMK 并能够使用它们的 PayShield。
您可以通过两种方式使用主机命令寻址特定的 LMK 密钥:
- 在主机命令中指定 LMK id
- 使用特定的 tpc/udp 端口与遵循此模式的主机对话:
- 端口 1500 -> 默认 LMK
- 端口 1501 -> LMK id 0
- 端口 1502 -> LMK id 1 等等。
在 A6 命令中,您有一个由“%”分隔的可选文件,之后您需要 select LMK ID。