Estoy intentando ubicarme en 3.6.3 y 3.6.2 en el estándar PCI-DSS, el almacenamiento y la distribución de claves criptográficas seguras.
¿Se tendrían dos mitades de clave de 256 bits almacenadas en ubicaciones separadas y separadas que se XORed juntas para crear el recuento de claves de cifrado de datos? ¿Se requiere estrictamente una clave de cifrado?
El servicio de cifrado podría leer ambas mitades y ensamblar la clave de cifrado de datos. Todos los accesos administrativos a una mitad clave determinada estarán restringidos por RBAC y la auditoría. Suponiendo que las claves provienen de un origen de datos aleatorios apropiado que tenga una de las mitades de la clave no proporcionaría un bit (sí, intencionalmente) de la información sobre el contenido real de la clave.