Cryptography 泰雷兹PayShield HSM密钥管理
我正在阅读PayShield文档,在导入密钥时偶然发现了一个关于密钥管理和LMK的问题:Cryptography 泰雷兹PayShield HSM密钥管理,cryptography,hsm,Cryptography,Hsm,我正在阅读PayShield文档,在导入密钥时偶然发现了一个关于密钥管理和LMK的问题: PayShield最多可存储20个LMK。当执行命令(如A6-导入密钥)时,HSM如何知道使用哪个LMK?作为一个参数,它只要求密钥类型,但不同LMK的密钥类型是否相同(考虑到它们都是变量) 命令导入密钥要求您提供已在ZMK下加密的密钥,例如,在将密钥从一个HSM传输到另一个HSM时。有没有办法将明文未加密密钥导入HSM?例如,我想到一些随机序列,然后尝试将其导入HSM。如果不是,您是否可以在ZMK下以某
- PayShield最多可存储20个LMK。当执行命令(如A6-导入密钥)时,HSM如何知道使用哪个LMK?作为一个参数,它只要求密钥类型,但不同LMK的密钥类型是否相同(考虑到它们都是变量)
- 命令导入密钥要求您提供已在ZMK下加密的密钥,例如,在将密钥从一个HSM传输到另一个HSM时。有没有办法将明文未加密密钥导入HSM?例如,我想到一些随机序列,然后尝试将其导入HSM。如果不是,您是否可以在ZMK下以某种方式对其进行加密,或者必须使用适当的HSM命令生成所有此类新密钥
LMK可以是variant或keyblock,它是您可以存储在payShield上的唯一密钥。 根据您拥有的许可证,最多可以存储20个LMK 诸如IK(导入键)或FK(表单键)等控制台命令在HSM存储区域中并非真正“导入”任何内容 您可以在控制台(或组件窗体)上生成并显示在命令中指定的LMK下加密的密钥 您需要将它们存储在应用程序数据库中,要使用这些密钥,您需要始终使用持有LMK并能够使用它们的PayShield 您可以通过两种方式使用主机命令寻址特定的LMK密钥:
- 在host命令中指定LMK id
- 使用特定的tpc/udp端口按照以下模式与主机通信:
- 端口1500->默认LMK
- 端口1501->LMK id 0
- 端口1502->LMK id 1 等等