Sto cercando di capire le migliori pratiche e le capacità relative all'uso di un HSM, ad esempio il Thales Payshield 9000.
In particolare, desidero trasferire in modo sicuro un BDK per DUKPT da un HSM a un secondo, senza che sia mai chiaro o decifrabile.
È possibile farlo tramite:
- Crea una nuova coppia RSA su HSM B (destinazione)
- Esportare la chiave pubblica e trasferire e caricare su HSM A (origine)
- Cripta il BDK all'origine, usando quella chiave pubblica ed esporta
- Trasferisci la versione crittografata in HSM B e carica
- Decifra utilizzando la chiave privata e carica come BDK
O ho frainteso le capacità?
C'è un modo migliore, standard, per farlo?
Grazie mille