这种情况已经出现在生产环境中,他们必须将一个 HSM 中生成的密钥复制到其他 HSM 中,以便集群中的所有节点使用相同的密钥。那么如果在复制时,他们将不得不导入对吗?因此,一旦复制了密钥,HSM 是否必须重新启动,或者可以在没有停机时间的情况下完成。HSM 是泰雷兹 HSM。这就是我掌握的所有信息。
2 回答
1
继 Pras 的回答之后——它高度依赖于供应商。密钥可能能够“备份”和“恢复”——假设两个 HSM 具有相同的 LMK(或 MBK 或...取决于供应商)。
备份/恢复不同于“导出包装”和“导入包装密钥”。现在,它不是LMK/MBK/...决定它是否可以完成。现在,它可能是一个本地配置策略,或者一个密钥自己的策略,它决定了它是否可以被导出包装。
如果您是两个 HSM 的所有者/操作员,并且您已使用相同的 LMK/MBK/... 设置它们,那么理论上(假设您的 HSM 允许!)您应该能够在一个,并将其恢复到另一个。
于 2021-06-23T03:50:17.027 回答
1
HSM 通过使用本地主密钥对密钥进行加密来保护密钥。在 HSM 之外,始终以 LMK 下的加密形式访问密钥
因此,您不能只将加密密钥从 HSM1 移动到 HSM2。首先,您需要确定这两个 HSM 是否具有相同的本地主密钥
如果它们具有相同的 LMK,则可能会移动密钥,即来自 HSM1 的密钥可以与 HSM2 一起使用。如果它们具有不同的 LMK,您可能必须将密钥从 HSM1 导出到两个 HSM 通用的传输密钥,然后将它们导入 HSM2。
于 2021-06-21T05:15:38.650 回答