您当前的位置:   首页 > 新闻中心
支付卡行业密钥模块对于PCI PIN要求的常见问题
发布时间:2021-11-09 09:00:25   阅读次数:

支付卡行业密钥模块对于PCI PIN要求的常见问题(图1)

本文针对有关密钥块(Key Block)及其与 PCI 的使用的一系列常见问题 (FAQ) 提出了一些答案。


问:PCI 标准对密钥块有什么要求?

答:最新的 PCI PIN 标准强制使用密钥块来管理和交换(在内部和外部系统之间)所有加密的对称密钥。这些密钥块应遵循 TR-31 技术报告(详细说明密钥块的外观和实施方式的 ISO 文件)。 


问:TR-31 密钥块是否由 PCI PIN 强制执行?

A:严格来说,他们不是。任何其他与 TR-31“等效”的方法都可以在过渡期间使用,只要密钥块遵守由以下定义的最小功能集:


“密钥的使用必须使用公认的方法以加密方式绑定到密钥,这样,如果使用属性已被更改,则使用密钥必须是不可行的。”


因此,例如,似乎不可能使用 PKCS#8。


问:PCI-DSS 中是否有密钥块的要求?

A:不,没有。PCI 密钥块要求仅适用于 PCI-PIN。


问:发行人是否必须为自己的发行密钥实现密钥块? 

答:从严格的角度来看,发行人没有法律约束力来实施关键区块。然而,由于他们通常是接收方并与必须实施密钥区块的各方相连,因此发行人还需要实施密钥区块,以使他们的系统为互操作性目的而工作。


问:PCI-PIN 中的密钥块必须保护哪些类型的密钥?

答:处理 PIN 码可能涉及许多不同的密钥类型,但最常见的是:

  • ZMK(区域主密钥);

  • KEK(密钥加密密钥);

  • BDK(基本派生密钥);

  • TMK(终端主密钥);

  • PEK(PIN 加密密钥)。


问:PCI-PIN 是否需要将密钥块用于传输和存储?

A: 是的,PCI-PIN 存储也需要密钥块。这意味着 HSM 必须将对称加密密钥存储为密钥块,并且只能存储 ASC 密钥块。当然,这并不适用于所有类型的密钥。例如,这不适用于一次性密钥,例如 DUKPT。


问:PCI-PIN 是否要求对密钥块使用密钥保护密钥?

答:密钥保护密钥(KPK)在TR-31指定以导出KB EC(密钥块加密密钥)一个第二的KBAC(密钥块认证密钥)。如果选择 TR-31 作为密钥块的实现参考,则必须使用 KPK。 


问:按照 PCI 规范的规定,当前实施密钥块的时间表是什么?

答:分阶段实施日期如下:

  • 第 1 阶段——在服务提供商环境中实施内部连接和密钥存储的密钥块——这将包括连接到硬件安全模块 (HSM) 的所有应用程序和数据库。生效日期:2019 年 6 月 1 日。

  • 第 2 阶段——为与协会和网络的外部连接实施密钥块。生效日期:2023 年 6 月 1 日。

  • 第 3 阶段——实施密钥块以扩展到所有商家主机、销售点 (POS) 设备和 ATM。生效日期:2025 年 6 月 1 日。


问:在 PCI-PIN 要求规定的与密钥块相关的更改生效之前,您可以做些什么来让您的组织做好准备?

答:与揽阁信息联系以了解更多信息。


揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609