HSM :为无人值守的启动存储正常用户PIN或传递短语

Question

我们使用Ncipher/Thales来存储密钥。用于此目的的操作员卡通过密码进行保护。我们使用PKCS11Interop与高速机床进行通信，需要提供PIN来与高速机床进行通信。在无人值守的过程中存储这类安全引脚/密码短语的行业惯例是什么？我们需要将我们的应用程序安装在多个盒子中，如何维护密码的安全性。

Answer 1

我们使用了两种不同的方法来存储PIN数据，而无人值守也没有什么不同。您必须将PIN数据存储在受保护的环境、Server或MainFrame系统中，这些系统的访问是受到保护和高度控制的。

不仅环境和数据格式很重要，您不能存储清晰的PIN数据，而是以加密的形式存储。你也必须使用HSM进行加密-解密。

1. 存储以LMK格式加密的PIN数据。 首先用“加密清除PIN”命令(BA)加密清除PIN数据，并存储输出数据。要验证PIN，必须调用“解密加密的PIN”命令(NG)。如果您想使用这些命令，您必须启用Thales中的“清除PIN”命令，这样它就非常容易受到内部攻击。如果内部人士能够访问PIN数据和HSM，可以很容易地获得PIN值。
2. 偏移法。 您不存储可用于生成明确PIN的敏感信息，但存储仅可用于验证目的的数据。您可以存储偏移量、抽取表、PIN验证数据以验证来自客户的数据(PIN被发送到ZPK或从ATM加密的TPK下的中央服务器)。您无法从这些数据生成客户PIN，因此它更安全。您可以使用PIN验证命令(DA、EA)