我正在使用Thales HSM生成加密密钥。加密密钥存储在/ opt / nfast / kmdata / local中。由于我可能需要生成非常重要的密钥(超过20000个密钥),因此我认为将所有密钥存储到一个目录中并不是最佳选择(我主要担心性能问题)。
我想将本地目录拆分为子目录,或者理想地将密钥存储到RDBMS数据库。
是否有任何“标准”方式来更新默认的HSM行为?
答案 0 :(得分:0)
问一下Thales的支持(我敢打赌,无法更改)。
有一些想法可以解决这种情况:
1。操作系统级别
2。应用程序级别
使用密钥多样化而不是密钥生成(如果可能的话)–即,如果您需要为成千上万个实体提供密钥,请使用主密钥,并使用该主密钥来使实体的所有密钥多样化。一些多样化的数据(例如实体身份/序列号等)。这样,您无需存储数千个密钥,而只需按需对其进行多样化即可。切记要仔细分析您是否可以完全使用密钥多样化(因为会有一些后果)
存储那些在安全领域之外已加密的密钥(如果可能的话)–即,导入/生成每个密钥作为临时对象,并立即使用一些持久性包装密钥对其进行包装(您可以将其称为LMK) 。将包装的值安全地存储在RDBMS(或其他任何位置)中,并删除时间对象。稍后,当您需要访问此特定键时,只需将其解回临时对象并使用它即可。同样,这种方法会产生一些后果,您必须彻底分析是否可以在您的情况下使用它
祝您的项目好运!
免责声明:我不是加密专家,所以请确认我的想法。