2019年6月，PCI安全标准委员会发布了名为PCI PIN安全要求18-3 –密钥块的信息补充，其中要求在称为“密钥块”的结构中管理加密的对称密钥。

根据此更新的要求，必须使用一种公认的方法将密钥用法加密地绑定到密钥，以便如果密钥的用法属性已更改，则无法使用该密钥。

PCI PIN安全要求18-3-密钥块分三个阶段概述了新标准的实施：

• 第1阶段–自2019年6月1日起，将实施服务提供商内部内部连接和密钥存储的密钥块。这包括连接到硬件安全模块（HSM）的所有应用程序和数据库。

• 第2阶段–从实施第1阶段起的24个月内或2021年6月1日之前，必须完成对与协会和网络的外部连接的关键模块的实施。
  

• 第3阶段–从实施第2阶段起24个月内有效，或从2023年6月1日起，必须完成关键模块的实施，以扩展到所有销售点（POS），商户主机和ATM。
  

什么是密钥块？

密钥块是密钥包装（加密）机制，其中包含加密的密钥，其使用约束以及有关该密钥的其他数据。密钥块的目的是保护加密密钥的完整性。对于银行和相关金融服务，密钥包装过程使用AES和ANSI TR31。

PCI SSC信息补充加密密钥块提供了有关用于包装的算法的其他信息。

所有对称密钥都需要使用密钥块吗？

根据PCI PIN安全性要求18-3 –密钥块，与另一个对称密钥交换或存储的所有与PIN安全性相关的对称密钥必须受到密钥块的保护。

这包括但不限于：

• PIN加密密钥（PEK）

• 区域主密钥（ZMK）

• 密钥加密密钥（KEK）

• 终端主密钥（TMK）

• 基本派生密钥（BDK）

HSM的注意事项

所有先前建立的密钥仍然可以使用。在实施日期之后，必须为所有发送密钥的连接创建密钥块保护密钥（KBPK）。不需要将现有的KEK重新发行为KBPK。但是，现有的KEK可以通过HSM供应商提供的机制转换为KBPK。

有哪些可接受的实施方法？

实施PCI PIN安全性要求18-3的可接受方法–密钥块的完整性要求包括但不限于：

• 通过明文属性和密钥块的加密部分（包括密钥本身）的串联计算得到的MAC，
  

• 根据相同数据计算出的数字签名，

• 根据ANSI X9.102，完整性检查是AES密钥包装过程中使用的密钥加密过程的隐式部分。

如何确定合规性？

PCI评估人员将评估密钥块实施各个阶段的合规性。这是通过检查HSM和商业应用程序上的配置设置以及专有软件的设计文档来完成的。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代

• 简化密钥和证书的审核和修复

• 揭示PKI动态：全球各地区技术趋势和监管见解

• Thales和HPE GreenLake扩大合作伙伴关系，提供增强的数据保护

• 什么是硬件安全模块（HSM）以及为什么它很重要？