¿Cómo transferir de forma segura DUKPT BDK entre HSM?

3

Estoy tratando de entender las mejores prácticas y capacidades con respecto al uso de un HSM, por ejemplo, el Thales Payshield 9000.

Específicamente, deseo transferir de forma segura un BDK para DUKPT de un HSM a un segundo, sin que esté nunca en claro o descifrado.

¿Es posible hacer esto por:

  1. Cree un nuevo par RSA en HSM B (destino)
  2. Exportar la clave pública y transferir, y cargar en HSM A (fuente)
  3. Cifre el BDK en la fuente, usando esa clave pública, y exporte
  4. Transfiera esa versión encriptada a HSM B y cargue
  5. Descifre utilizando una clave privada y cargue como BDK

¿O no he entendido bien las capacidades?

¿Hay una forma mejor y estándar de hacer esto?

Muchas gracias

    
pregunta Nik 29.10.2016 - 20:35
fuente

1 respuesta

2

Hablé con un representante de ventas del distribuidor de Thales.

  1. Genere una clave maestra de zona (ZMK), que es una KEK.
  2. Distribúyalo a la parte de destino, en varios componentes, a través de diferentes medios.
  3. Cargue esa ZMK en el HSM de destino.
  4. El HSM de origen ahora puede exportar ese BDK, cifrado usando el ZMK, que ahora puede enviarse a destino
  5. Y cargado en el HSM de destino y descifrado utilizando la ZMK compartida.

Me gusta lo que propuse, pero con simétrico, en lugar de asimétrico.

Esto no impide que los 3 custodios de los componentes de ZMK entren en connivencia, lo que retiene la ZMK en algún lugar y luego puede exportar el BDK y descifrarlo. Pero al parecer esta es la forma estándar.

    
respondido por el Nik 31.10.2016 - 17:14
fuente

Lea otras preguntas en las etiquetas