Schema di gestione delle chiavi in PHP conforme a NIST SP 800-57

8

Stiamo lavorando per raggiungere la conformità SAQ-D PCI e nel modo in cui scopriamo ogni giorno cose nuove. Oggi: Gestione delle chiavi

Mi chiedo se sono disponibili soluzioni PHP open source o commerciali che implementano uno schema di gestione delle chiavi conforme allo standard di sicurezza PCI DSS?

Archiviamo la carta e abbiamo bisogno di avere una chiave di crittografia che è NIST SP 800-57 conforme. Ho cercato su questo, ma non riesco a trovare alcun codice di esempio o anche una singola chiave valida.

    
posta Nimbuz 10.12.2012 - 23:08
fonte

2 risposte

4

NIST SP 800-57 è uno standard lungo e molto generale, che si applica principalmente a dettagli come scopo chiave, durata, durata e altri dettagli che sono tipicamente indipendenti dall'applicazione in uso. Forse dovresti rivedere la documentazione relativa agli standard, identificare i requisiti rilevanti per la tua applicazione e restringere la tua domanda per riflettere i requisiti specifici che l'applicazione deve implementare.

Si noti che la ricerca di un'applicazione scritta appositamente per implementare le migliori pratiche di gestione delle chiavi e delle password non ha un senso, poiché la gestione delle chiavi e delle password deve essere integrata nell'applicazione che effettivamente utilizza le password e le chiavi, piuttosto che una soluzione autonoma. Quindi non è chiaro quale applicazione specifica per forzare la durata della chiave, la lunghezza, ecc. In realtà fa , e come si inserirà nel tuo flusso di lavoro generale.

Anche le pratiche di gestione delle chiavi riguardano tanto la configurazione, l'utilizzo e la distribuzione della tua applicazione quanto lo riguardano il codice stesso, e probabilmente anche molto di più.

    
risposta data 16.12.2012 - 17:20
fonte
3

Sebbene PCI DSS non richieda specificamente la conformità NIST SP-800-57 per la gestione delle chiavi, fa riferimento a NIST e ad altri standard internazionali in quest'area (consultare il Glossario PCI DSS e la Guida di navigazione). L'implementazione di una soluzione di gestione delle chiavi certificata NIST richiede un lungo cammino verso la conformità con PCI DSS. Minimamente si dovrebbe cercare una convalida FIPS-140-2 del gestore delle chiavi. Le soluzioni del fornitore che sono convalidate possono essere trovate qui:

link

È necessario fare molta attenzione alle affermazioni del fornitore per la conformità FIPS-140-2. Non è sufficiente che un componente di gestione delle chiavi sia certificato FIPS-140-2. Se la soluzione del fornitore non si trova sul sito web NIST, non è convalidata dal NIST.

PCI DSS fa riferimento ad altre migliori pratiche di gestione delle chiavi come il doppio controllo, la separazione dei compiti e la conoscenza divisa. Questi sono descritti abbastanza bene nella guida di navigazione PCI DSS. Vale la pena fare una lettura veloce. Questi concetti provengono anche dalle pubblicazioni del NIST e dalle migliori pratiche di sicurezza.

    
risposta data 18.12.2012 - 04:20
fonte

Leggi altre domande sui tag