完成: ETSI EN 319 411-2或ETSI TS 101 456 - "7.2.2证书颁发机构使用安全世界每日备份磁带进行密钥备份
完成: ETSI EN 319 411-2或ETSI TS 101 456 - "7.2.2证书颁发机构使用安全世界每日备份磁带进行密钥备份
提问于 2015-10-27 14:51:17
有谁能解释一下,一个CA如何才能满足规范要求:
ETSI EN 319 411-2或ETSI TS 101 456
"7.2.2核证机关密钥储存、备份和恢复. c)只有在实际安全的环境中至少使用双重控制的可信角色人员才能备份、储存和恢复CA私钥(见第7.4.4条)。授权执行这一职能的人员人数应保持在最低限度,并与CA的做法保持一致;“
- 并在整个“安全世界”(包括CA私钥)磁带上进行自动每日备份,以实现快速的灾难恢复解决方案。
我知道安全世界是在双重控制下创建的,但是每天的备份都是自动完成的。
此外,我知道恢复只能通过双重控制,但是否符合上述ETSI要求?
对于我来说,最不清楚的一点是每天的备份,这意味着CA每个月都会在磁带上备份30个CA私钥。允许这样做吗?
普通CA如何使用带有安全世界和磁带备份的Thales nChiper实现此ETSI请求?
回答 1
Security用户
发布于 2022-06-08 17:23:01
安全世界可以创建双控制ACS卡2/3应该工作良好(EN 319 411-1)。
我不是审计师,但您可以在多个硬盘上备份一次can密钥(在密钥仪式之后,然后将驱动器存储在保险箱中),然后在进行日常备份时忽略这些密钥,只需保存安全域配置即可。
请记住,他的CA密钥是加密的,不能在HSM之外使用。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/103835
复制相关文章
相似问题
腾讯云开发者
