本文针对有关密钥块(Key Block)及其与 PCI 的使用的一系列常见问题 (FAQ) 提出了一些答案。
答:最新的 PCI PIN 标准强制使用密钥块来管理和交换(在内部和外部系统之间)所有加密的对称密钥。这些密钥块应遵循 TR-31 技术报告(详细说明密钥块的外观和实施方式的 ISO 文件)。
A:严格来说,他们不是。任何其他与 TR-31“等效”的方法都可以在过渡期间使用,只要密钥块遵守由以下定义的最小功能集:
“密钥的使用必须使用公认的方法以加密方式绑定到密钥,这样,如果使用属性已被更改,则使用密钥必须是不可行的。”
因此,例如,似乎不可能使用 PKCS#8。
A:不,没有。PCI 密钥块要求仅适用于 PCI-PIN。
答:从严格的角度来看,发行人没有法律约束力来实施关键区块。然而,由于他们通常是接收方并与必须实施密钥区块的各方相连,因此发行人还需要实施密钥区块,以使他们的系统为互操作性目的而工作。
答:处理 PIN 码可能涉及许多不同的密钥类型,但最常见的是:
ZMK(区域主密钥);
KEK(密钥加密密钥);
BDK(基本派生密钥);
TMK(终端主密钥);
PEK(PIN 加密密钥)。
A: 是的,PCI-PIN 存储也需要密钥块。这意味着 HSM 必须将对称加密密钥存储为密钥块,并且只能存储 ASC 密钥块。当然,这并不适用于所有类型的密钥。例如,这不适用于一次性密钥,例如 DUKPT。
答:密钥保护密钥(KPK)在TR-31指定以导出KB EC(密钥块加密密钥)一个第二的KBAC(密钥块认证密钥)。如果选择 TR-31 作为密钥块的实现参考,则必须使用 KPK。
答:分阶段实施日期如下:
第 1 阶段——在服务提供商环境中实施内部连接和密钥存储的密钥块——这将包括连接到硬件安全模块 (HSM) 的所有应用程序和数据库。生效日期:2019 年 6 月 1 日。
第 2 阶段——为与协会和网络的外部连接实施密钥块。生效日期:2023 年 6 月 1 日。
第 3 阶段——实施密钥块以扩展到所有商家主机、销售点 (POS) 设备和 ATM。生效日期:2025 年 6 月 1 日。
答:与揽阁信息联系以了解更多信息。
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!