硬件安全模块和存储信用卡号码

时间:2015-02-04 21:16:40

标签: security encryption

目前正在开展一项需要信用卡存储的项目。为了符合PCI-DSS 1级标准,必须通过使用HSM对信用卡号进行加密。

  1. HSM的使用与自酿加密有何不同?

  2. 如果加密数据被盗,并且该人获得访问权限 对项目代码来说,这不会危害加密数据 无论使用HSM还是自加密?

  3. 如果发生入侵,HSM如何检测并发出警报?

  4. 我要求总体方向开始我的研究,以了解要获得哪种类型的HSM以及如何安全地实施它。

1 个答案:

答案 0 :(得分:2)

  

HSM的使用与自酿加密有何不同?

回答我......你如何建议将密钥安全地存储在自酿的加密中?

正如旧IT所说的那样......“密码学很难,除非你真的知道你在做什么,否则不要试图重新发明轮子,即便如此,只做所以如果你真的必须“。

HSM是公钥加密(和签名)。私钥存在于HSM上,永远不会离开。制造商明确且故意不提供任何导出私钥的方法。

您使用公钥加密数据(或者更确切地说是加密数据的对称密钥),然后通过API解密数据(或者更确切地说是解密数据的对称密钥)。

  

如果加密数据被盗,并且该人获得访问权限   项目代码,这不会危害加密数据   无论使用HSM还是自加密?

没有。他们仍然需要访问HSM硬件。

因为您使用HSM来加密静态数据,所以它们只有加密数据。

当然,如果他们入侵您的网络并花费一些时间坐在服务器上,他们可能会在您运行加密/解密过程时找到一种方法来嗅出数据。但是在那种情况下,你可以说“有了物理访问,它在IT安全方面的游戏结束”。

关于分层安全性。 HSM是核心。您需要在其上构建其他安全层。

  

如果发生入侵,HSM如何检测并发出警报?

HSM活动完全可审核。由您和您的IDS和日志监控系统来决定使用这些数据!

更好的商用HSM设备还允许您设置解密速率限制等内容,以减缓潜在的黑客攻击。