Tengo una aplicación habilitada para PKCS # 11 que interactúa con HSM para almacenar claves TDES. El HSM se inicializa con la contraseña del Oficial de seguridad (SO) proporcionada por el usuario mientras la aplicación se instaló por primera vez.
Me gustaría saber cuál es la mejor manera de preservar la contraseña de SO para que, si la aplicación / sistema se reiniciara, sin la intervención humana, pueda usar la contraseña de SO para abrir sesiones con HSM y utilizarla. Actualmente, trato de leer la contraseña almacenada encriptada en el sistema de archivos. La clave para el cifrado está codificada en la aplicación. Esto evitaría que cualquier persona tenga acceso a la clave / contraseña a menos que ingrese a la memoria mientras se ejecuta la aplicación. La búsqueda de información humana en cada reinicio de la aplicación también se descarta.
¿Qué recomiendan normalmente los procedimientos de seguridad para proteger las contraseñas / claves que usa una aplicación para acceder al servicio desde otras aplicaciones (HSM en mi caso)?