Ayuda a comprender el PCI-DSS cuando se utiliza el cifrado basado en contraseña de las claves generadas automáticamente

4

He heredado la tarea de auto auditar un sistema de comercio electrónico para cumplir con el PCI-DSS.

Estamos almacenando el PAN en nuestra base de datos en forma cifrada utilizando un algoritmo AES de 256 bits para realizar el cifrado. La generación de claves se produce dentro de la aplicación y se deriva de una contraseña establecida por el usuario. La contraseña se lee en la inicialización de la aplicación desde una configuración. expediente. El sistema de encriptación utilizado es proporcionado por los métodos de jasypt PBE.

No tengo claro cómo se debe administrar un sistema de este tipo para el cumplimiento de PCI-DSS.

P1: ¿Debe considerarse la contraseña anterior como la "clave de cifrado de la clave"?

P2: ¿Es el requisito de PCI-DSS 3.6.6 "Si se utilizan las operaciones manuales de administración de claves criptográficas de texto no cifrado, estas operaciones deben administrarse utilizando conocimiento dividido y control dual (por ejemplo, se requieren dos o tres personas, cada una de las cuales solo sabe) su propio componente clave, para reconstruir toda la clave) ". relevante en este caso y, en caso afirmativo, ¿cómo podría implementarse?

Me preocupa la necesidad de que el cumplimiento con 3.6.6 afecte nuestra rápida iteración de desarrollo y ciclo de implementación.

    
pregunta user15411 25.10.2012 - 20:23
fuente

1 respuesta

2

Q1. no, la contraseña desde la que se genera la clave (¿cómo se hace? PBKDF?) es no el KEK. La clave que utiliza para cifrar la contraseña almacenada en el archivo de configuración, que es KEK. ¿Qué quieres decir con que la contraseña no está encriptada?

Q2. No exactamente.
Si implementa un KEK para proteger la contraseña que genera la clave, entonces el KEK debe ser administrado. ¿Quién puede acceder al KEK, quién puede cambiarlo? Ahí es donde el conocimiento dividido / control dual necesita entrar en juego. Por ejemplo, dependiendo de su sistema, quizás cuando surja, dos personas necesiten ingresar manualmente (su parte) el KEK, para permitir que descifre la contraseña que genera la clave. O tal vez se centre en la parte de "control dual", donde uno tiene la contraseña de nivel del sistema operativo para permitir el acceso local al archivo de configuración, y uno tiene la clave física para ingresar a la sala (asumiendo que el archivo de configuración solo puede modificarse localmente, por supuesto).

Por supuesto, no soy un QSA, lo más importante es que no soy su QSA: consúltelo para verificar su solución antes de implementarla.

    
respondido por el AviD 25.10.2012 - 21:34
fuente

Lea otras preguntas en las etiquetas