曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        ANSI X9.24-1-2017和ISO 13491-1:零售金融服務環境中使用的安全加密設備簡介
        發布時間:2020-03-03 07:18:03   閱讀次數:

        ANSI X9.24-1:2017標準要求在對稱密鑰密碼學的上下文中使用安全密碼設備(SCD),并且對于要被批準為SCD。本文概述并解釋了X9.24-1-2017和ISO 13491-1對零售金融服務系統中使用的SCD的某些方面和要求。

        1-2003030PTW09.png

        摘要

        ANSI X9.24-1-2017通過參考其他技術標準,定義了在零售金融服務參與者執行對稱加密的情況下使用安全加密設備的簡明要求。


        重要的是要注意,由SCD執行的秘密共享必須使用“ n個秘密共享”,例如Shamir的秘密共享方案。


        同樣重要的是要注意,配備有“簡單”防篡改機制的SCD,例如,不能主動“回答”未經授權的訪問,具有幾個重要的使用限制。


        定義

        根據ISO 13491-1,安全密碼設備(SCD)定義為“ 提供物理和邏輯保護的密碼服務和存儲的設備”。這樣的設備可以是PIN輸入設備(PED),智能卡硬件安全模塊HSM)。 


        SCD的物理和邏輯保護顯然意味著它具有防篡改和/或防篡改功能。該標準在“簡單的”防篡改SCD和配備了“能夠防御”入侵的“防篡改”機制的SCD之間做出了重要區分。


        SCD的安全特性和評估標準在ISO 13491-1:2016和13491-2:2016標準以及ANSI X9.97-1:2009金融服務-安全加密設備(零售)-部分中進行了規定參照圖1和2。ISO 13491-2詳細介紹了SCD可用于零售金融環境的認證和評估所需的清單。


        相關認可機構根據認可的評估機構的結果頒發評估證書。評估方法包括以下內容:

        • 非正式的

        • 半正式的

        • 被批準半正式的

        • 正式的


        成功完成流程后發出的文檔分別是:

        • 評定報告(Assessment Report)

        • 評價報告(Evaluation Report)

        • 批準清單

        • 證書。

        當然,過程越正式,成本最高,時間越長,但認證質量越好。


        N of M SCD秘密共享計劃

        根據X9.24-1-2017標準,SCD必須使用XOR操作從其片段重建密鑰。但是,當SCD用于反向操作時,意味著它從密鑰生成片段,則應使用“ n個秘密共享方案”。


        這意味著秘密在m個參與者之間共享,并且在這些參與者之間,n個參與者的任何組都可以重建秘密,但是n-1個參與者的任何組都不能這樣做。


        最常見的(n,m)秘密共享是Shamir的秘密共享。


        Shamir秘密共享只是利用以下事實:任何k次多項式都可以由k個不同的點定義。在此方案中,為m個參與者分別賦予不同的分數。k組的任何參與者都可以通過組合他們的秘密知識并使用例如插值法來重構多項式,從而找到多項式。


        秘密本身可以是多項式或其在給定點的任何值。一組k-1個參與者無法重建多項式。因此,存在無限數量的可能值,從而使得在沒有所有參與者的情況下,他們對秘密的了解完全無用。


        注釋

        “ 滿足參考3 [ISO 13491]中的防篡改要求,但不滿足其中的“防篡改”要求的SCD,僅在以下情況下使用:該SCD的泄密不會損害SCD中未保存的密鑰或機密?!?nbsp;


        這是一個非常重要的要求,因為它清楚地將“簡單”的防篡改SCD與具有篡改響應要求的SCD(通常稱為HSM)區分開來。該要求限制了“簡單的”防篡改SCD的使用,并要求將它們放置在受限區域(最小控制環境)中。


        “在停用SCD時,應根據參考文獻3的第1部分擦除財務密鑰?!?/em>


        我們注意到,該標準不使用加密術語“歸零化”,而只是要求對密鑰進行“擦除”。 


        “當SCD丟失或被盜時,該設備中包含的所有密鑰都應視為已泄露?!?/em>


        我們注意到,對“丟失”或“被盜”沒有嚴格的定義(例如,當SCD完全丟失或被盜時,會導致組織出現差異)。令人驚訝的是,在這種情況下,根據標準,不應將SCD視為強制性的妥協,而只是作為一種可能的選擇。 


        與FIPS 140-2比較

        關于FIPS 140-2標準,防篡改/響應的意圖肯定非常相似。但是,在部署方面,ISO 13491-1:2016的要求更為具體。例如(ISO 13491-1:2016,“防篡改要求”下的6.4.1.4):“為了防止替換/移除,應以不切實際的方式從以下位置移除設備進行保護:其預期的運營地點?!?FIPS 140-2(級別3)具有多個防篡改/響應選項,具體取決于設備類型。例如,您可以逃脫:“加密模塊應覆蓋有一層不透明的硬防篡改涂層”(FIPS 140-2,第4.5.2節“單芯片加密模塊”,級別3)。


        如果SCD通過了FIPS 140-2級別3認證,則很有可能滿足ISO 13491-1:2016的防篡改和響應要求。 


        PS:FIPS 140-2在2019年被FIPS 140-3取代。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精