PCI兼容RSA密钥生成及私有指数值的获取
是否有可能生成RSA密钥并使其私有指数清晰并符合以下PCI要求?:
必须生成密钥,以便从所有可能的密钥集合中确定某些密钥比其他密钥更有可能发生。密码密钥或密钥组件必须由下列之一生成:
- PCI批准的HSM的一种已批准的密钥生成功能
- FIPS 140-2级3级(或更高) HSM的一种经批准的密钥生成功能
- 经独立实验室认证符合NIST 22 800-22的经批准的随机数发生器
例如,通过将AES密钥导入到FIPS 140-2级3级兼容令牌上,在其上生成RSA密钥对,并将其私有部分封装到PKCS#8中,使用导入的AES密钥吗?然后在可信桌面计算机上用AES密钥解密私钥。
回答 1
Security用户
发布于 2015-03-16 18:36:36
您的问题要求在令牌上创建RSA密钥对。如果该令牌包含已批准的RNG,则应该可以。否则就不太好了。
用AES密钥加密的私钥将被导入到受信任的桌面计算机上?您的私钥只能用于签名或解密。如果您的私钥用于应用程序签名,则它很可能位于令牌上。如果作为P2PE解决方案内PKI的一部分用于解密,则应该在SCD (HSM、KLD、POI)上进行解密。
您不应该能够在P2PE中获得透明的密钥。以下是P2PE草案2.0的6F-1.1版本。键只能以下列形式之一存在:
·至少有两个独立的关键股票或完整的组件
*用附件C所述同等或更大强度的密钥加密
包含在安全密码设备中的
混合解密解决方案注意:主机系统可暂时保留明文数据解密密钥(DDK),以便对帐户数据进行解密。
https://security.stackexchange.com/questions/83907
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号