Guida alla comprensione di PCI-DSS quando si utilizza la crittografia basata su password da chiavi generate automaticamente

4

Ho ereditato il compito dell'auto-auditing di un sistema di e-commerce per la conformità allo standard PCI-DSS.

Stiamo memorizzando il PAN nel nostro database in forma crittografata utilizzando l'algoritmo AES a 256 bit per eseguire la crittografia. La generazione della chiave avviene all'interno dell'applicazione e deriva da una password impostata dall'utente. La password viene letta all'avvio dell'applicazione da una configurazione. file. Il sistema di crittografia utilizzato è fornito dai metodi jasypt PBE.

Non sono chiaro in che modo un tale sistema debba essere gestito per la conformità PCI-DSS.

Q1: la password sopra può essere considerata la "chiave di crittografia chiave"?

Q2: Requisito PCI-DSS 3.6.6 "Se si utilizzano le operazioni manuali di gestione delle chiavi crittografiche con testo in chiaro, queste operazioni devono essere gestite utilizzando la conoscenza divisa e il doppio controllo (ad esempio, richiedendo due o tre persone, ognuna con solo conoscenza il proprio componente chiave, per ricostruire l'intera chiave). " rilevante in questo caso e, in caso affermativo, come potrebbe essere implementato?

Sono preoccupato per la necessità di conformità a 3.6.6 che influisce sulla nostra rapida iterazione di sviluppo e sul ciclo di implementazione.

    
posta user15411 25.10.2012 - 20:23
fonte

1 risposta

2

Q1. no, la password da cui viene generata la chiave (btw come è fatto? PBKDF?) è non KEK. La chiave che utilizzi per crittografare la password memorizzata nel file di configurazione, ovvero KEK. Cosa vuoi dire, la password non è crittografata?

Q2. Non esattamente.
Se si implementa un KEK per proteggere la password di generazione della chiave, è necessario gestire KEK. Chi può accedere al KEK, chi può cambiarlo? È qui che deve entrare in gioco la conoscenza divisa / il doppio controllo. Ad esempio, a seconda del sistema, forse quando si presentano due persone devono inserire manualmente (la loro parte) il KEK, per consentirgli di decodificare la password di generazione della chiave. O forse ci si concentra sulla parte "dual control", dove si ha la password a livello di sistema operativo per abilitare l'accesso locale al file di configurazione, e si ha la chiave fisica per entrare nella stanza (assumendo che il file di configurazione possa essere modificato solo localmente, ovviamente).

Ovviamente, non sono un QSA, soprattutto non sono tuo QSA - consulta lui / lei per verificare la tua soluzione prima di implementarla.

    
risposta data 25.10.2012 - 21:34
fonte

Leggi altre domande sui tag