Che cosa significa l'istruzione PCI-DSS "Memorizza separatamente dalla chiave di crittografia dei dati"?

Naviga le tue risposte
6

Secondo il requisito PCI-DSS 3.5.2

Crittografato con una chiave di crittografia chiave almeno altrettanto potente della chiave di crittografia dei dati, ovvero archiviati separatamente dalla chiave di crittografia dei dati.

Significa:

  1. Archiviazione delle chiavi (DEK e KEK) in server diversi (server1 e server2) o
  2. Memorizzazione delle chiavi (DEK e KEK) in percorso di percorso diverso sullo stesso computer.

path1(DEK): c:\user\chandru\Document\DEK\DEK.txt

path2(KEK): c:\user\chandru\Document\KEK\KEK.txt

o 3. Memorizzare le chiavi (DEK e KEK) in una diversa posizione utente sulla stessa macchina.

path1(DEK): c:\user\chandru\Document\DEK\DEK.txt path2(KEK):c:\user\somenewuser\Document\KEK\KEK.txt

Esiste un altro modo per archiviare la chiave oltre all'HSM secondo gli standard PCI-DSS?

Dedicated Server with HSM:

TwodedicatedserverwithoutHSM:

    
posta chandru 27.02.2014 - 14:28
fonte

2 risposte

5

Ci sono due modi per farlo:

Approccio solo di archiviazione semplice

Il primo metodo consiste nell'utilizzare un dispositivo per crittografare i dati e un altro dispositivo per archiviarli. Quindi i dati vengono crittografati su alcuni server delle applicazioni, ma vengono memorizzati su un server di database. Il luogo in cui sono archiviati i dati non possiede nessuno dei tasti, è solo memoria.

Approccio più complesso ma più sicuro

Il secondo metodo consiste nell'utilizzare una coppia di chiavi pubblica / privata. Viene generata una chiave di sessione casuale unica per ogni pezzo che si desidera crittografare. Crittografare i dati sensibili con la chiave di sessione e la chiave di sessione con la propria chiave pubblica, quindi eliminare la chiave di sessione.

È quindi possibile memorizzare il blocco crittografato sullo stesso server della chiave pubblica utilizzata per crittografarlo, poiché la chiave pubblica è inutile per la decrittografia.

Per decrittografare i tuoi dati, puoi utilizzare la chiave privata per decodificare la tua chiave di sessione e utilizzare la chiave di sessione per decifrare i dati riservati.

Questo è il modo in cui funzionano strumenti come PGP / GPG, quindi non è necessario (e non dovrebbe) implementarlo tu stesso, puoi semplicemente utilizzare una di queste utilità di magazzino.

    
risposta data 27.02.2014 - 19:31
fonte
0

Quindi hai 2 domande

Che cosa significa archiviato separatamente nel requisito 3.5.2?

"Separato" significa, beh, separato, per quanto riguarda quel particolare requisito, i tuoi 1 °, 2 °, 3 ° metodi sono tutti bene. Tuttavia, in altri requisiti (ad esempio, leggi tutti i Requisiti 3.5 e 3.6) PCI-DSS ti chiede di assicurarti che lo spazio di archiviazione delle chiavi sia sicuro, quindi non devi solo separare KEK dal DEK, devi conservare i KEK in modo sicuro (ad esempio in un HSM o un keystore basato su software)

C'è un altro modo per archiviare la chiave oltre all'HSM secondo gli standard PCI-DSS?

Certo che sì, lo standard PCI-DSS non richiede l'uso di un HSM per l'archiviazione delle chiavi. Finché l'archiviazione della chiave (KEK) è protetta, stai bene. Nei nostri progetti utilizziamo esattamente il tuo approccio "Due server dedicati senza HSM". Tieni presente che il tuo "Key Server" dovrebbe in realtà fornire sia la funzione di memorizzazione delle chiavi che la funzione di crittografia / decrittografia (quindi dovrebbe essere chiamata qualcos'altro). In questo modo, i tuoi KEK (le tue chiavi più preziose) non vengono mai esposti al codice client (applicazioni in esecuzione su Application Server nel nostro diagramma).

    
risposta data 04.02.2015 - 07:22
fonte

Leggi altre domande sui tag

Qual è il vantaggio di un'azienda di formare i dipendenti in cybersecurity? Conformità PCI-DSS non riuscita | Invio di prove