2017-04-03 9 views
0

우리는 Ncipher/Thales HSM을 사용하여 키를 저장합니다. 이 작업에 사용되는 운영자 카드는 암호문으로 보호되어 있습니다. 우리는 HSM과 통신하기 위해 PKCS11Interop을 사용 중이며 HSM과 통신하기 위해 PIN을 제공해야합니다. 무인 프로세스에 보안 핀/패스 구문을 저장하는 업계 관행은 무엇입니까? 여러 상자에 애플리케이션을 설치해야합니다. 어떻게 핀의 보안을 유지해야합니까?HSM : 무인 시작을위한 일반 사용자 PIN 또는 암호 구문 저장

답변

0

우리는 PIN 데이터를 저장하고 참석 또는 무인으로하는 두 가지 다른 방법을 사용했습니다. 액세스가 보호되고 고도로 제어되는 보호 환경, SQL Server 또는 MainFrame 시스템에 PIN 데이터를 저장해야합니다.

환경뿐 아니라 데이터 형식도 중요하지만 암호화되지 않은 PIN 데이터는 암호화 된 형식으로 저장할 수 없습니다. 암호화 해독에도 HSM을 사용해야합니다.

  1. LMK 형식으로 암호화 된 PIN 데이터를 저장하십시오.

    "Clear PIN 암호화"명령 (BA)으로 먼저 암호화 된 PIN 데이터를 암호화하고 출력 데이터를 저장합니다. PIN을 확인하려면 "암호화 된 PIN 암호 해독"명령 (NG)을 호출해야합니다. 이러한 명령을 사용하려면 Thales HSM에서 "PIN 지우기"명령을 사용하도록 설정해야 내부자 공격에 매우 취약합니다. PIN 데이터 및 HSM에 액세스 할 수있는 내부자는 PIN 값을 쉽게 얻을 수 있습니다.

  2. Offset Method.

    명확한 PIN을 생성하는 데 사용할 수있는 중요한 정보가 아니라 확인 목적으로 만 사용할 수있는 데이터는 저장하지 마십시오. 오프셋, 십진수 표, PIN 유효성 검사 데이터 고객이 제공 한 데이터 (PIN은 ZPK로 중앙 서버에 전송되거나 ATM에서 암호화 됨)를 확인하는 데 사용됩니다. 해당 데이터에서 고객 PIN을 생성 할 수 없으므로보다 안전합니다. PIN 확인 명령 (DA, EA)을 사용할 수 있습니다.