2019年6月,PCI安全标准委员会发布了名为PCI PIN安全要求18-3 –密钥块的信息补充,其中要求在称为“密钥块”的结构中管理加密的对称密钥。
根据此更新的要求,必须使用一种公认的方法将密钥用法加密地绑定到密钥,以便如果密钥的用法属性已更改,则无法使用该密钥。
PCI PIN安全要求18-3-密钥块分三个阶段概述了新标准的实施:
第1阶段–自2019年6月1日起,将实施服务提供商内部内部连接和密钥存储的密钥块。这包括连接到硬件安全模块(HSM)的所有应用程序和数据库。
第2阶段–从实施第1阶段起的24个月内或2021年6月1日之前,必须完成对与协会和网络的外部连接的关键模块的实施。
第3阶段–从实施第2阶段起24个月内有效,或从2023年6月1日起,必须完成关键模块的实施,以扩展到所有销售点(POS),商户主机和ATM。
密钥块是密钥包装(加密)机制,其中包含加密的密钥,其使用约束以及有关该密钥的其他数据。密钥块的目的是保护加密密钥的完整性。对于银行和相关金融服务,密钥包装过程使用AES和ANSI TR31。
PCI SSC信息补充加密密钥块提供了有关用于包装的算法的其他信息。
根据PCI PIN安全性要求18-3 –密钥块,与另一个对称密钥交换或存储的所有与PIN安全性相关的对称密钥必须受到密钥块的保护。
这包括但不限于:
PIN加密密钥(PEK)
区域主密钥(ZMK)
密钥加密密钥(KEK)
终端主密钥(TMK)
基本派生密钥(BDK)
所有先前建立的密钥仍然可以使用。在实施日期之后,必须为所有发送密钥的连接创建密钥块保护密钥(KBPK)。不需要将现有的KEK重新发行为KBPK。但是,现有的KEK可以通过HSM供应商提供的机制转换为KBPK。
实施PCI PIN安全性要求18-3的可接受方法–密钥块的完整性要求包括但不限于:
通过明文属性和密钥块的加密部分(包括密钥本身)的串联计算得到的MAC,
根据相同数据计算出的数字签名,
根据ANSI X9.102,完整性检查是AES密钥包装过程中使用的密钥加密过程的隐式部分。
PCI评估人员将评估密钥块实施各个阶段的合规性。这是通过检查HSM和商业应用程序上的配置设置以及专有软件的设计文档来完成的。
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!