私たちはNcipher/Thales HSMを使用してキーを保管しています。 これに使用されるオペレータカードは、パスフレーズで保護されています。 私たちはHSMと通信するためにPKCS11Interopを使用しており、HSMと通信するためにPINを提供する必要があります。 無人プロセスにこのようなセキュリティピン/パスフレーズを格納する業界の慣行は何ですか? 複数のボックスにアプリケーションをインストールする必要がありますが、ピンのセキュリティをどのように保つ必要がありますか?HSM:無人スタート用の通常のユーザーPINまたはパスフレーズの保存
私たちは、PINデータを格納するために2つの異なるプラクティスを使用して、参加または無人になることに違いはありません。保護された環境、SQL Server、またはMainFrameシステムにPINデータを保存する必要があります。
環境だけでなくデータ形式も重要ですが、クリアPINデータを暗号化された形式で保存することはできません。暗号化/復号化にもHSMを使用する必要があります。
LMK形式で暗号化されたPINデータを格納します。
「クリアPINの暗号化」コマンド(BA)でクリアPINデータを暗号化し、出力データを保存します。 PINを確認するには、「暗号化されたPINの復号化」コマンド(NG)を呼び出す必要があります。これらのコマンドを使用する場合は、Thales HSMの「Clear PIN」コマンドを有効にして、内部の攻撃に対して非常に脆弱にする必要があります。 PINデータとHSMにアクセスできるインサイダーが簡単にPIN値を取得できます。
クリアPINを生成するために使用できる機密情報は保存しませんが、検証目的でのみ使用できるデータは保存しないでください。 オフセット、10進数表、PIN検証データ顧客からのデータ(PINはZPKの中央サーバーまたはATMから暗号化されたTPKに送信されます)の検証に使用します。これらのデータからお客様のPINを生成することはできないため、より安全です。 PIN検証コマンド(DA、EA)を使用できます。