发布日期:2025-08-09 浏览次数:
经过大约八年的规划和开发,认证标准委员会 X9 Inc (ASC X9) 准备推出其新的 PKI 系统——该系统专为满足金融服务行业的安全需求而定制
几十年来,金融行业一直使用来自公共信任 (Web PKI) 证书颁发机构的数字证书来保护支付网络的安全。这种方法虽然有效,但并非理想之选,原因很简单:ATM、信用卡机和其他金融网络的功能与 Web 浏览器截然不同,它们有不同的安全需求。
X9 是一个非营利性标准委员会,代表约 100 家不同的银行和金融机构,目前正在为金融服务行业推出一套全新的公钥基础设施 (PKI)。X9金融 PKI 由 DigiCert 提供支持,其全新构建旨在更好地满足金融服务公司当前和未来的需求。例如,PKI 行业越来越倾向于缩短数字证书的有效期,这可能会给部署使用寿命超过 10 年的硬件的金融服务机构带来诸多问题。
让我们了解和讨论 X9 PKI是什么、它是如何构建的以及它将如何使用。
X9 Financial PKI是一个公钥基础设施,专为满足金融机构、商户、证券公司、第三方支付服务提供商以及众多其他金融服务机构的需求而设计。它提供弹性、稳定、安全的安全基础设施和证书生命周期管理功能。
让我们快速浏览一下 X9 Financial PKI 的 PKI 架构模型,其中最初将有一个根 CA 和两个链接到它的颁发 CA(尽管这可能会随着时间的推移而扩大):
图片说明:此 X9 Financial PKI 架构图基于富国银行执行董事兼网络安全研究员Jeff Stapleton 的 X9 演示图。
我们稍后会详细介绍 ASC X9 管理机构。但这里的主要内容是,X9 的金融 PKI 彻底改变了我们传统认知的 PKI 模式,创建了一个专用的安全框架,让金融机构牢牢掌控全局。换句话说,X9 PKI 满足了这个独特群体的需求,这些需求与 Web PKI 的需求不同。
传统的 Web PKI 需要数十个受公众信任的证书颁发机构(CA) 来颁发证书。这意味着 Web PKI 的安全性最终取决于安全性最低的 CA 的安全性。
Web PKI 标准和安全要求及建议由一组实体制定,其中包括 Google、Apple、Mozilla 和 Microsoft 等非金融部门组织(通过CA/Browser Forum或简称 CA/B Forum)。
这些非金融部门组织在数字安全方面有自己的重点和优先事项,并不总是与金融实体的重点和优先事项一致。
下面简单回顾一下传统PKI 架构的样子,它由许多根 CA 以及更多链接到它们的从属 CA 和颁发 CA 组成:
图片说明:这个基本的 Web PKI 架构图提供了包含许多 CA、治理和标准机构以及其他组织的生态系统的简化概述。
X9 Financial PKI 与传统的面向浏览器的公钥基础设施类似,它使用公钥加密技术,并由认证机构 (CA) 向负责安全管理它们的组织颁发可信的数字证书。
然而,相似之处仅此而已。这是因为 X9 PKI 框架专门针对该行业的独特需求,以确保互操作性并提高数据安全性,以抵御现代和未来的威胁(例如量子计算)。它可能会提供更大的灵活性,以满足该行业广泛的用例。
了解这一点,X9 Financial PKI 与全球组织使用的传统 PKI 生态系统之间存在一些关键区别:
X9 信任层级将构建于稳定、专用的根证书之上。X9 PKI 框架需要一个专用的、支持 PQC 的根证书授权机构 (CA),且该根证书不会被用于其他应用程序。目前,DigiCert 是唯一一家获得授权可以创建此类专用信任根(即“信任链”或“信任链”)的CA。
该系统的设计专门考虑了金融安全和基础设施。它将服务于金融服务提供商及其技术(例如 ATM 机、POS 系统等)的独特需求,而非网络浏览器和网站用户。例如,支付处理商在全球范围内部署了大量固定功能的设备,这使得定期升级几乎不可能。
该标准不会受到无关方的影响。Web PKI 面向浏览器的需求,由 CA/B 论坛和其他实体管理,其中一些实体与金融机构无关。X9 PKI 是一项符合金融服务提供商需求的标准,而不是由浏览器和其他非金融服务实体塑造。
认证标准委员会 X9 公司( ASC X9 )是一家非营利组织,致力于制定和维护金融服务行业的国家和国际标准。X9成员包括:
ASC X9F(也称为数据和信息安全小组委员会)是一个负责创建独立 X9 金融 PKI 框架的小组,旨在满足美国金融服务行业的独特需求。ASC X9 的 PKI 研究组已:
确定了该行业的具体 PKI 用例(截至 2024 年共有 34 个)
将作为 X9 Financial PKI 的管理机构对其进行监督。
一些具体用例的示例包括:
采用加密技术保护 ATM 机与银行系统的连接,防止数据盗窃和恶意软件安装
确保 POS 系统信用卡数据传输安全,从而保护消费者数据
使用加载密钥为 ATM 和 POS 设备启用 PIN 加密
确保银行间数字通信的完整性和安全性,无需依赖外部依赖
提供可验证的文件来源方法
签署金融服务软件
促进金融交易的数字签名
确保美联储Fedwire的新ISO 20022 消息安全,该消息将于 2025 年 7 月 14 日生效(原定于 2025 年 3 月 10 日)
最终,X9 PKI 的目标是为组织提供工具、技能和知识,以克服 PKI 复杂性并解决行业不断演变的网络安全威胁和问题。
该项目旨在扩展现代公钥基础设施,使其能够专门服务于金融服务行业,且不受外部干扰。那么,为这个特定行业创建一个独特且独立的私有PKI究竟有何优势呢?
更强的数据安全性和保密性。根据特定用例(例如 ATM 和 POS 设备的传输层安全性 [TLS])设计 PKI,将使金融实体能够更好地保护传输中的敏感数据。
简化部署,增强互操作性。我们见证了Web PKI 标准从 SHA1 迁移到 SHA-2 后发生的情况——金融机构争相寻求互操作性解决方案,导致混乱局面。X9 PKI 旨在通过支持现有 PKI 的机构与 X9 RCA 进行交叉认证,从而改善集成并提高互操作性。
提高加密敏捷性。金融机构需要拥有相应的工具和框架,以利用现代工具和未来量子计算技术来对抗网络犯罪分子带来的高级威胁。
减少中断并降低成本。中断和安全保障不足会直接影响企业的盈利,这已不是什么秘密。这意味着从响应网络安全事件或运营中断的成本,到品牌声誉受损造成的收入损失,无所不包。实施安全稳定且符合行业需求的 PKI,有助于缓解这些问题,并降低直接和间接成本。
金融行业对数据隐私和安全相关的变化并不陌生:
支付卡采用 Europay、Mastercard 和 Visa (EMV) 技术(即智能芯片),
PCI 数据安全标准(PCI DSS)的实施
纳入多因素身份验证 (MFA)
遵守其他数据安全和隐私法规(例如 NYDFS、GDPR 等)
X9 Financial PKI 的开发并非一朝一夕之功,而是近十年来一直在筹备的:
图片说明:该时间线展示了过去八年中 X9 Financial PKI 开发过程所经历的进程。
值得注意的是,今年(2025年)X9学习小组成员将开始看到他们的劳动成果。例如(以下日期为预估日期):
2025 年第二季度: DigiCert 数字信任高级总监、ASC X9 PKI 研究组和CA/B 论坛主席Dean Coclin表示,预计其 X9 专用根创建和颁发测试 CA 的密钥仪式将于 4 月举行。
2025年第三季度至第四季度: DigiCert将举行密钥仪式,以创建其X9生产根证书和签发证书CA。此外,还需要进行WebTrust CA审计,以确保CA的认证实践声明(CPS)与运营保持一致。此外,还将进行一项额外检查,以验证CPS是否符合X9 CP PKI要求。
对 X9 PKI 的需求归结于金融服务行业的不同需求和用例。例如,POS 系统连接信用卡公司以及 ATM 机连接银行的方式与人类使用浏览器访问网站的方式截然不同。
如果您的组织需要保护支付系统传输中的数据,那么 X9 PKI 可能比来自浏览器信任 CA 的传统SSL/TLS 证书更适合您的需求。请联系揽阁信息,我们将帮助您确定X9 PKI 是否满足您的需求。
揽阁信息 · 值得您信赖的信息安全顾问!
沪公网安备31011202021337号 网站地图
友情链接: Thales官网 芯片产品网站 服务热线
