Thales PayShield HSM密钥管理

Question

我正在阅读PayShield文档，偶然发现导入密钥时有关密钥管理和LMK的问题：

• PayShield最多可以存储20个LMK。在执行命令（例如A6-导入密钥）时，HSM如何知道要使用哪个LMK？作为参数，它仅要求提供密钥类型，而对于不同的LMK，密钥类型是否不同（考虑到它们都是变体）？
• 命令导入密钥要求您提供已经在ZMK下加密的密钥，例如，将密钥从一个HSM传输到另一个HSM时。有没有办法将纯文本未加密的密钥导入到HSM中？例如，我想到了一些随机序列，然后尝试将其导入HSM。如果没有，您是否可以在ZMK下以某种方式对其进行加密，或者必须使用适当的HSM命令生成所有这些新密钥？

Answer 1

1. 您可以在命令本身或通过端口识别LMK。这在命令或控制台参考手册中，具体取决于命令的类型。

2. 您不能导入一个清除键，可以由至少两个清除组件组成一个键。

Answer 2

LMK可以是变体或密钥块，它是您可以存储在payShield上的唯一密钥。 根据您拥有的许可证，您最多可以存储20个LMK。

诸如IK（重要键）或FK（表单键）之类的控制台命令实际上并没有“导入” HSM存储区域中的任何内容。

您在控制台（或组件的表单）上生成和显示的密钥在您在命令中指定的LMK下加密。

您需要将它们存储在应用程序数据库中，并使用这些密钥，始终需要使用拥有LMK并能够使用它们的PayShield。

您可以通过两种方式使用主机命令来寻址特定的LMK密钥：

• 在主机命令中指定LMK ID
• 使用特定的tpc / udp端口按照以下模式与主机进行通信：
  • 端口1500->默认LMK
  • 端口1501-> LMK ID 0
  • 端口1502-> LMK ID 1 等等。