南非调查人员上周透露，欺诈者一年多前从该国邮局的银行部门偷走了超过320万美元，这强烈提醒人们，如果密钥没有受到保护，加密并不意味着什么。

该违规行为发生在2018年12月，迫使该银行重新发行1200万张支付卡。这一切都是因为Postbank的36位加密数字主密钥被印在了人们担心的内部工作中。

点对点加密管理公司Bluefin的首席战略官Ruston Miles表示：“每次，密钥管理中都会发生加密漏洞。”

Miles说，例如，一家全球公司可能会为全球站点获得数千个新的支付终端，并购买注入到系统中的加密密钥。

支付卡行业安全标准委员会顾问委员会成员迈尔斯说：“但是在整个过程中，有人忘记打开钥匙。” “当加密不是经过认证的，经过验证的系统的一部分时，就会发生这种事情。”

他补充说，该公司可能怀有良好的意愿并尽了最大的努力，但是“如果没有外部实体定期按照某个特定标准审核和验证控制措施，它们最终将不合时宜，黑客就会介入。” 。

大约在同一时间，南非邮局银行正在处理管理不当的加密密钥的后果，青年零售商克莱尔的电子商务网站遭受了一次破坏，恶意软件隐藏在“提交”按钮后面以发起交易，从而使其成为可能。黑客很容易将付款数据路由到伪造的域并窃取它。

该事件与其他许多零售数据泄露事件不太相似，它说明了加密服务的另一点：它们仍然是一种硬件到硬件的解决方案，而那些可能试图避免这种费用并转向基于软件的保护的零售商冒着以下风险：麻烦。

Miles说，由于加密密钥位于过程的前端和后端，因此务必记住这些密钥“只能存在于硬件中，就像存在硬件安全模块中一样”。

迈尔斯指出：“钥匙必须存放在与需要付款的卡分开的区域。” “那个单独的区域不能被暴露，加密必须在加密区域内进行，然后才能进入应用程序或软件层，甚至是设备的各个层。”

对于PCI委员会和其他安全专家来说，这个问题是长期以来的关注点。

Aite Group高级网络安全分析师Joe Krull说：“软件开发人员通常不了解加密的复杂性，总是将密钥直接编码到他们的应用程序中，就像他们经常使用硬编码的用户名和密码一样。” “这很容易，而且延迟很短，但是并不安全。”

这样，硬件安全模块或HSM仍然是加密密钥保护的最佳解决方案。

克鲁尔说：“我无法数出我审核过的加密密钥存储在数据库中的数据库数量。”

为了弥补其被视为突出的安全弱点，PCI委员会最近更新了其P2PE标准，以简化组件和软件提供商的验证过程，希望此举最终将使更多产品可用于持卡人保护。

HSM通常被认为对于中型和小型商家而言过于昂贵，每单位价格在4,000美元至5,000美元之间，因此迫使许多公司考虑也不支持加密的其他选择。

KHull补充说：“由于区块链的部署，HSM焕发了新的生命，有望通过大规模生产降低成本。”

但是，密钥管理并不像确保它位于HSM中那样简单，没有人可以访问它。

克鲁尔说：“密钥管理既复杂又困难。” “拆分密钥和托管更加困难，这是专家需要经常参与的地方，以便密钥管理者离开云环境时，整个基础架构不会变得不可用。”

最终，P2PE仍然是保护持卡人数据并缩小商户PCI范围的有效方法。它的重要性使得评估者几乎不可能对不包含强大密钥管理功能的商家或服务提供商解决方案发表正面意见。克鲁尔补充说：“从字面上看，这是POS基础架构的关键。” “如果没有HSM，那将是一件很难的事，它将需要对所有控制措施进行详尽的审查。”

当安全行业继续看到基于不良密钥管理的漏洞时，这令人不安。

迈尔斯说：“你不希望加密得一个坏名声，因为当人们仅仅把某件事弄错了的时候，那真是愚蠢。”

Miles坚持这一口号，即加密过程应遵循支付行业标准，而PCI合规性是关键指标。尽管如此，安全提供者与PCI理事会之间仍存在冲突，特别是如果公司认为其HSM在流程中比理事会建议的更重要的话。

世界上最大的零售商建立并管理自己的安全密钥，因为他们不希望由单个收单方来管理该过程。排名低于顶级公司的大型公司通常会转向诸如First Data，Elavon，Global Payments，TSYS或其他公司之类的收购方。他们通常与金雅拓（现Thales）等公司合作以获取HSM（SafeNet Luna HSM）。

但是，即使是主要的收购方和加工商也已经转向像Bluefin这样的公司来全职管理加密密钥，这种趋势应该会减少与密钥管理问题相关的违规行为。

较小的零售商大多使用将P2PE服务带到桌面的支付网关，其运作方式类似于支付安全链中的增值经销商。迈尔斯说：“但是现在，各种规模的企业都可以使用加密服务，而收购方则将其纳入其安全性和合规性服务中。”

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• SK Telecom与Thales合作开发后量子密码学

• Luna HSM v7.8.4 和 Luna HSM Universal Client v10.7 现已推出

• 勒索软件制裁：有什么影响？

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代

• 经验教训：2023年全球网络安全的五个要点