私的なキー管理を適切に行う方法

Question

誰もが実際の経験や、に準拠する重要な管理スキームを実装するスキームの参照を得ていますか PCI DSS セキュリティ基準？

PCI DSSに準拠した企業の数を考えると、明らかにかなりの数の実装がありますが、それらの詳細を見つけようとするのは難しいです。プライベートデータの保存に取り掛かると、通常、どの暗号化アルゴリズムを使用するかについて、ディスカッションは通常停止します。その後、通常、秘密鍵を適切に保存することに関する声明がありますが、それを行うための実用的な方法や、定期的にキーを変更したり、アプリケーションにキーを提供したりするなどの説明はありません。

特に、PCI DSS標準のセクション3.5および3.6の要件に興味があります。

3.5.2可能な限り少ない場所とフォームに暗号化キーを安全に保存します。

3.6.aカード所有者データの暗号化に使用されるキーのキー管理手順の存在を確認します。注：主要な管理のための多数の業界標準は、NISTを含むさまざまなリソースから入手できます。 http://csrc.nist.gov.

3.6.4キー管理手順が実装されていることを確認して、少なくとも毎年定期的な重要な変更を必要とします。

私は見ました NIST暗号化出版物 PCI DSS要件ドキュメントが示唆するように、しかし最近のメモとは別に 暗号化キー管理ワークショップ 実際の実装可能なスキームや標準の方法ではあまりないようです。

私がやろうとしていることについては、そうではありません。

1. パスワード +塩を1つの方法として保存して、認証のためにハッシュします。
2. データ暗号化の強力な対称性アルゴリズムを選択します。
3. そもそもプライベートデータを保存する必要はありません。
4. 物理的なセキュリティ、データベースセキュリティ、ドラゴン、ウィザードなど、他のメカニズムを使用した主要な管理の必要性を避けてください。

これらはすべて有効な懸念ですが、この場合は答えではありません。私の要件のナットとボルトは別の質問にあります ユーザーデータごとに機密性を保存および取得するための.NETデザインパターン しかし、それはすべて重要な管理に要約されているため、このより洗練された質問です。

Answer 1

私はあなたが経験している痛みに精通しています。古いEFTシステムをPCIコンプライアンスに向けて更新するのに苦労しました。キー管理は確かに（私のソフトウェアの観点から）最も挑戦的な部分でした。

私もつまずいたと思います キー管理のためのNIST推奨事項 マーティンは投稿し、具体的な例がないことに非常にイライラしました。

ANSI X9.17-金融機関のキー管理 PCI-DSSを使用して、おそらくお客様のニーズに最も関連しています。それを読んで幸運を祈りますが、このドキュメントはTLAの大規模なコレクションです。 （X9.17は毎年更新され、最新バージョンは次のとおりです。 NIST SP 800-57 PT。 1 Rev. 4 )

欲求不満が絶望に変わったとき、私はつまずきました 電子マネーミル これは架空の物語であり、関連する技術的な参照が多数あります。 第17章 X9.17について議論し、理解に役立つ可能性があります。

このすべての参考資料から、私は監査人が喜んでいた重要な管理システムを設計しました。設計ドキュメントはかなり長いですが、要約すると、キー暗号化キーによって保護されたキーを暗号化するデータがあり、キー暗号化キーはマスターキーによって保護された物理的に個別のボックスに保存されます。

私の実装は、Windowsボックスでキーサーバーアプリケーションを実行することでした。このアプリケーションには、使用する前に2つの個別の「キーサーバーマスターキー」の入力が必要でした。これらのキーは、キーサーバー管理者のみが知られています。これらのキーは、マスターキーを生成するために一緒にXOR'dであり、アプリケーションの実行中に保護されたメモリにのみ保存されます。アプリケーションは、マスターキーを使用して暗号化されたフォームに保存されている暗号的に強力なキー暗号化キーを自動的に生成できます。

暗号化が必要なアプリケーションは、キーサーバーからキー暗号化キーを要求します。 KEKは、アプリケーションでアプリケーションの暗号化キーを暗号化/復号化するためにアプリケーションで使用されます。キーは、アプリケーションデータに安全に保存できます。

幸運を。また、興味深い挑戦であることを願っています！

Answer 2

ニストを見たことがありますか SP 800-57, 、キー管理の推奨事項？