泰雷兹 PayShield HSM 密钥管理

Question

我正在阅读 PayShield 文档，并在导入密钥时偶然发现了一个关于密钥管理和 LMK 的问题：

• PayShield 最多可以存储 20 个 LMK。执行命令（如 A6 - Import a Key）时，HSM 如何知道要使用哪个 LMK？作为一个参数，它只要求一个密钥类型，但不同 LMK 的密钥类型是否相同（考虑到它们都是变体）？
• 命令import a key 要求您提供已在 ZMK 下加密的密钥，例如在将密钥从一个 HSM 传输到另一个 HSM 时。有没有办法将明文未加密密钥导入 HSM？例如，我想到一些随机序列，然后尝试将其导入 HSM。如果没有，您能否以某种方式在 ZMK 下对其进行加密，或者必须使用适当的 HSM 命令生成所有此类新密钥？

Answer 1

1. 您可以在命令本身或通过端口识别 LMK。这在命令或控制台参考手册中，具体取决于命令的类型。

2. 您不能导入明文密钥，您可以由至少两个明文组件组成一个密钥。

Answer 2

LMK 可以是变体或密钥块，它是您可以存储在 payShield 上的唯一密钥。 根据您拥有的许可证，您最多可以存储 20 个 LMK。

IK（导入键）或 FK（表单键）等控制台命令并不是真正“导入”HSM 存储区域中的任何内容。

您在控制台上生成并显示（或从组件形成）一个在您在命令中指定的 LMK 下加密的密钥。

您需要将它们存储在您的应用程序数据库中并使用这些密钥，您需要始终使用持有 LMK 并能够使用它们的 PayShield。

您可以通过两种方式使用主机命令来寻址特定的 LMK 密钥：

• 在主机命令中指定 LMK id
• 使用特定的 tpc/udp 端口​​与遵循此架构的主机通信：
  • 端口 1500 -> 默认 LMK
  • 端口 1501 -> LMK id 0
  • 端口 1502 -> LMK id 1 等等。

Answer 3

在 A6 命令中，您有一个由“%”分隔的可选字段，之后您需要选择 LMK ID。