本文针对有关密钥块（Key Block）及其与 PCI 的使用的一系列常见问题 (FAQ) 提出了一些答案。

问：PCI 标准对密钥块有什么要求？

答：最新的 PCI PIN 标准强制使用密钥块来管理和交换（在内部和外部系统之间）所有加密的对称密钥。这些密钥块应遵循 TR-31 技术报告（详细说明密钥块的外观和实施方式的 ISO 文件）。 

问：TR-31 密钥块是否由 PCI PIN 强制执行？

A：严格来说，他们不是。任何其他与 TR-31“等效”的方法都可以在过渡期间使用，只要密钥块遵守由以下定义的最小功能集：

“密钥的使用必须使用公认的方法以加密方式绑定到密钥，这样，如果使用属性已被更改，则使用密钥必须是不可行的。”

因此，例如，似乎不可能使用 PKCS#8。

问：PCI-DSS 中是否有密钥块的要求？

A：不，没有。PCI 密钥块要求仅适用于 PCI-PIN。

问：发行人是否必须为自己的发行密钥实现密钥块？ 

答：从严格的角度来看，发行人没有法律约束力来实施关键区块。然而，由于他们通常是接收方并与必须实施密钥区块的各方相连，因此发行人还需要实施密钥区块，以使他们的系统为互操作性目的而工作。

问：PCI-PIN 中的密钥块必须保护哪些类型的密钥？

答：处理 PIN 码可能涉及许多不同的密钥类型，但最常见的是：

• ZMK（区域主密钥）；
  

• KEK（密钥加密密钥）；
  

• BDK（基本派生密钥）；
  

• TMK（终端主密钥）；
  

• PEK（PIN 加密密钥）。
  

问：PCI-PIN 是否需要将密钥块用于传输和存储？

A: 是的，PCI-PIN 存储也需要密钥块。这意味着 HSM 必须将对称加密密钥存储为密钥块，并且只能存储 ASC 密钥块。当然，这并不适用于所有类型的密钥。例如，这不适用于一次性密钥，例如 DUKPT。

问：PCI-PIN 是否要求对密钥块使用密钥保护密钥？

答：密钥保护密钥（KPK）在TR-31指定以导出KB EC（密钥块加密密钥）一个第二的KBAC（密钥块认证密钥）。如果选择 TR-31 作为密钥块的实现参考，则必须使用 KPK。 

问：按照 PCI 规范的规定，当前实施密钥块的时间表是什么？

答：分阶段实施日期如下：

• 第 1 阶段——在服务提供商环境中实施内部连接和密钥存储的密钥块——这将包括连接到硬件安全模块 (HSM) 的所有应用程序和数据库。生效日期：2019 年 6 月 1 日。

• 第 2 阶段——为与协会和网络的外部连接实施密钥块。生效日期：2023 年 6 月 1 日。

• 第 3 阶段——实施密钥块以扩展到所有商家主机、销售点 (POS) 设备和 ATM。生效日期：2025 年 6 月 1 日。
  

问：在 PCI-PIN 要求规定的与密钥块相关的更改生效之前，您可以做些什么来让您的组织做好准备？

答：与揽阁信息联系以了解更多信息。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代

• 简化密钥和证书的审核和修复

• 揭示PKI动态：全球各地区技术趋势和监管见解

• Thales和HPE GreenLake扩大合作伙伴关系，提供增强的数据保护

• 什么是硬件安全模块（HSM）以及为什么它很重要？