Generazione di chiavi RSA conformi PCI e valore dell'esponente privato

Question

Generazione di chiavi RSA conformi PCI e valore dell'esponente privato

#1 da (0 voti)

0

È possibile generare la chiave RSA e ottenere il suo esponente privato in chiaro e per essere conforme ai seguenti requisiti PCI?:

Le chiavi devono essere generate in modo che non sia possibile determinare che alcuni tasti siano più probabili di altri tasti dall'insieme di tutte le chiavi possibili. Le chiavi di crittografia oi componenti chiave devono essere generati da uno dei seguenti elementi:

Funzione di generazione di chiavi approvata di un HSM approvato da PCI
Una funzione di generazione di chiavi approvata di un FIPS 140-2 Livello 3 (o superiore) HSM
Un generatore di numeri casuali approvato che è stato certificato da un laboratorio indipendente conforme a NIST SP800-22

Ad esempio importando la chiave AES sul token compatibile con FIPS 140-2 Level 3, generando una coppia di chiavi RSA su di essa e inserendo la sua parte privata in PKCS # 8 con la chiave AES importata? Quindi decrittografare la chiave privata con la chiave AES sul computer desktop affidabile.

key-generation rsa pci-dss fips pkcs11

posta user1563721 16.03.2015 - 18:01

fonte

1 risposta

Leggi altre domande sui tag key-generation rsa pci-dss fips pkcs11

Utilizzo di TPM con DMcrypt? L'overflow del buffer di exploitation porta al segfault

score 0 · Accepted Answer

La tua domanda chiede che la coppia di chiavi RSA sia creata su un token. Se quel token contiene un RNG approvato, dovresti essere OK. Altrimenti, non così buono.

La tua chiave privata crittografata con una chiave AES verrà importata su un computer desktop affidabile? La tua chiave privata dovrebbe essere utilizzata solo per la firma o per la decrittografia. Se la tua chiave privata è per la firma dell'applicazione, probabilmente sarà su un token. Se utilizzato per la decrittografia come parte di un PKI all'interno di una soluzione P2PE, dovrebbe essere su un SCD (HSM, KLD, POI).

Non dovresti essere in grado di ottenere le chiavi in chiaro all'interno di P2PE. Il seguente è dal 6F-1.1 della versione 2.0 del progetto P2PE. Le chiavi possono esistere solo in una delle seguenti forme:

• Almeno due condivisioni di chiavi separate o componenti a lunghezza intera

• Crittografato con una chiave di forza uguale o superiore come delineato nell'Allegato C

• Contenuti all'interno di un dispositivo crittografico sicuro

Nota per soluzioni di decrittografia ibride: i DDK (Data Decryption Key) in chiaro possono essere temporaneamente conservati dal sistema host in memoria volatile allo scopo di decrittografia dei dati dell'account.