San*_*eep 5 jce emv hsm pci-compliance amazon-kms
我们可以利用通用 HSM 进行 EMV 相关工作吗?像ARQC/ARPC?PCI 指南并未明确禁止使用通用 HSM。存在某些限制(例如不允许将 ISO 类型 0 转换为类型 1)等。
但我普遍好奇 - 有没有人通过使用通用 HSM 的 EMV 开关认证?
我认为这是可能的原因如下:ISO 9564 和 TR-31 标准要求一些常见的事情,例如
b) 必须防止确定可变长度密钥的密钥长度。c) 必须确保密钥只能用于特定算法(例如 TDES 或 AES,但不能同时用于两者)。d) 必须确保修改后的密钥或密钥块在使用前可以被拒绝,无论修改后密钥的效用如何。修改包括更改密钥的任何位,以及重新排序或操作 TDES 密钥块内的单个 DES 密钥
在即将发布的 TR-31 法规中,我发现 AWS KMS 使用EncryptionContext和策略约束等内容进行“静态完整性检查”
所以我通常想知道是什么阻止我们使用 KMS 来实现此目的?
小智 0
对于 ARQC/ARPC 验证、PINBLOCK 传输、CVV 验证/生成和 PIN 身份验证,必须使用支付 HSM,例如 Thales payShield 9k,在云中有 MyHSM 选项或 AWS 最近发布了 AWS Payment Cryptogrhapy 服务。您可以使用通用 HSM 来遵守 PCI DSS,但仅限于加密/解密数据。
https://aws.amazon.com/es/ payment-cryptography/
| 归档时间: |
|
| 查看次数: |
156 次 |
| 最近记录: |