目前正在开展一项需要信用卡存储的项目。为了符合PCI-DSS 1级标准,必须通过使用HSM对信用卡号进行加密。
HSM的使用与自酿加密有何不同?
如果加密数据被盗,并且该人获得访问权限 对项目代码来说,这不会危害加密数据 无论使用HSM还是自加密?
如果发生入侵,HSM如何检测并发出警报?
我要求总体方向开始我的研究,以了解要获得哪种类型的HSM以及如何安全地实施它。
答案 0 :(得分:2)
HSM的使用与自酿加密有何不同?
回答我......你如何建议将密钥安全地存储在自酿的加密中?
正如旧IT所说的那样......“密码学很难,除非你真的知道你在做什么,否则不要试图重新发明轮子,即便如此,只做所以如果你真的必须“。
HSM是公钥加密(和签名)。私钥存在于HSM上,永远不会离开。制造商明确且故意不提供任何导出私钥的方法。
您使用公钥加密数据(或者更确切地说是加密数据的对称密钥),然后通过API解密数据(或者更确切地说是解密数据的对称密钥)。
如果加密数据被盗,并且该人获得访问权限 项目代码,这不会危害加密数据 无论使用HSM还是自加密?
没有。他们仍然需要访问HSM硬件。
因为您使用HSM来加密静态数据,所以它们只有加密数据。
当然,如果他们入侵您的网络并花费一些时间坐在服务器上,他们可能会在您运行加密/解密过程时找到一种方法来嗅出数据。但是在那种情况下,你可以说“有了物理访问,它在IT安全方面的游戏结束”。
关于分层安全性。 HSM是核心。您需要在其上构建其他安全层。
如果发生入侵,HSM如何检测并发出警报?
HSM活动完全可审核。由您和您的IDS和日志监控系统来决定使用这些数据!
更好的商用HSM设备还允许您设置解密速率限制等内容,以减缓潜在的黑客攻击。