Skip to main content

V2.9.1 Cryptographic Verifier

Requirement:#

Verify that cryptographic keys used in verification are stored securely and protected against disclosure, such as using a Trusted Platform Module (TPM) or Hardware Security Module (HSM), or an OS service that can use this secure storage.

Explanation:#

Безопасное хранение криптографических ключей — одна из самых сложных проблем, поскольку приложению всегда необходимо иметь определенный уровень доступа к ключам для расшифровки данных. Хотя полностью защитить ключи от злоумышленника, который полностью скомпрометировал приложение, может оказаться невозможным, можно предпринять ряд шагов, чтобы затруднить получение им ключей.

Remediation:#

Вот этапы процесса исправления:

  • Использование безопасного хранилища. Криптографические ключи, используемые при проверке, должны храниться в безопасном хранилище, таком как доверенный платформенный модуль (TPM) или аппаратный модуль безопасности (HSM). Эти безопасные решения для хранения данных специально разработаны для защиты криптографических ключей от раскрытия и гораздо более безопасны, чем программные решения для хранения данных.
  • Шифрование криптографических ключей. Криптографические ключи следует шифровать либо до их сохранения в решении для безопасного хранения, либо во время их хранения для защиты от несанкционированного доступа. Это помогает гарантировать, что даже если решение для безопасного хранения будет скомпрометировано, криптографические ключи не могут быть легко извлечены и использованы.
  • Защита доступа к безопасному хранилищу: доступ к решению для безопасного хранения должен быть ограничен только авторизованным персоналом и должен быть защищен с помощью надежных механизмов проверки подлинности, таких как многофакторная проверка подлинности. Это помогает предотвратить несанкционированный доступ к защищенному хранилищу и хранящимся в нем криптографическим ключам.
  • Регулярная проверка и обновление средств управления безопасностью. Решение для безопасного хранения данных должно регулярно проверять и обновлять средства обеспечения безопасности, чтобы они оставались эффективными для защиты от несанкционированного доступа. Это включает в себя регулярное обновление паролей и ключей шифрования, а также сканирование уязвимостей и тестирование на проникновение для выявления потенциальных угроз безопасности.
  • Обеспечение обучения и обучения пользователей. Организации должны проводить обучение и обучение пользователей, чтобы убедиться, что пользователи понимают важность безопасного хранения криптографических ключей и последствия неправильного использования криптографических ключей. Это включает в себя обучение использованию безопасных решений для хранения данных, шифрованию и механизмам контроля доступа.

Выполняя эти шаги по исправлению, организации могут гарантировать, что криптографические ключи, используемые при проверке, хранятся надежно и защищены от раскрытия. Кроме того, регулярные проверки безопасности и обновления могут помочь выявить и смягчить потенциальные риски безопасности, гарантируя, что решение для безопасного хранения останется безопасным в течение долгого времени.

Additional:#

https://cheatsheetseries.owasp.org/cheatsheets/Cryptographic_Storage_Cheat_Sheet.html

Edit this page