安全培训
GBT27909.2-2011银行业务密钥管理(零售)第2部分:对称密码及其密钥管理和生命周期.pdf
密钥
- 密钥生产:密钥和密钥组件应使用随机或伪随机过程生成。
- 组成密钥生存期的各种状态统称为密钥的生命周期
- 密钥周期:
密钥通过生成,到密钥销毁或终止时为一个密钥周期,类似软件生命周期。密钥使用周期分为三个阶段:使用前(密钥生成和存储),使用中(密钥分发)和使用后(密钥归档或终止) - 密钥按其数据类型和操作方式分类,PIN加密密钥只用来加密PIN,密钥加密密钥(KEK)用来加密其他密钥。KEK也需要继续分类,用来加密PIN密钥的和用来加密报文鉴别码(MAC)的。
- 密钥管理原则要求密钥应以某种过程生成,该过程应确保密钥的不可预测性或密钥在密钥空间中的等概率性
- 不可重复密钥生成涉及到不确定值
- 可重复密钥生成,(允许拥有种子密钥)生成过程是不可逆的,一个已生成密钥泄漏不能导致初始密钥或其他密钥泄漏。
- 明文密钥只应存放于安全密码设备中,如明文主密钥只能存放于密码键盘中。
- 密钥只应以明文密钥、密钥组件、加密密钥形式存在
- 以至少两个或更多分离的密钥组件形式存在的密钥应通过密钥分割?和双重控制技术?加以保护。
- 使用数字签名、MAC、密钥分组绑定方法保护密钥的完整性
- 密钥加密:用一个密钥加密另一个密钥
- 密钥变形:单个密钥获得一个密钥集的技术
- 密钥衍生:一种由一个初始密钥和非秘密可变数据生成若干密钥的技术
- 密钥变换:安全密码设备由当前密钥生成一个或多个未来的密钥并擦除当前密钥的所有痕迹,从而实现密钥更换。
- 密钥偏移:每当一个新加密的密钥被传输到接收节点时,由初始密钥计算出一个新KEK的技术。
- KGK密钥生成密钥(初始密钥)
- KVC密钥验证码
- PIN个人识别码
- 密钥标记:用相关标签来标识密码设备外存在的密钥类型的技术
- 密钥验证:KVC测试,确认密钥的完整性,如建行工作密钥和MAC都会通过SDK做KVC测试。
- 密钥识别分显式和隐式
0419培训笔记
- 多重控制即多人控制
- 密钥变形(异或、可逆)
- fixed key(一级)-> mk/sk (二级)-> DUKPT(三级)
- kcv使用全0加密,取前三位
- 对称密钥生命周期
POS终端安全基础知识2018
- POS安全的本质是一种数据安全、信息安全。
- 安全是POS终端的核心竞争力
ISO和ANS规范整理
1.
