Branchenterminologie

Ein Acquirer Working Key (AWK) ist ein Schlüssel, der typischerweise für den Datenaustausch zwischen einem Acquirer/Acquirer-Prozessor und einem Netzwerk (wie Visa oder Mastercard) verwendet wird. In der Vergangenheit nutzte AWK 3DES zur Verschlüsselung und wurde als TR31_P0_PIN_ENCRYPTION_KEY dargestellt.

Ein Basisableitungsschlüssel (Base Derivation Key, BDK) ist ein funktionierender Schlüssel, der häufig als Teil des PCI-PIN- und PCI P2PE-DUKPT-Prozesses verwendet wird. Er wird als TR31_B0_BASE_DERIVATION_KEY bezeichnet.

Ein Kartenhauptschlüssel (CMK) ist ein oder mehrere kartenspezifische Schlüssel, die in der Regel von einem Issuer Master Key, PAN und PSN abgeleitet werden und sind in der Regel 3DES-Schlüssel. Diese Schlüssel werden während der Personalisierung auf dem EMV-Chip gespeichert. Beispiele für CMKs sind AC-, SMI- und SMC-Schlüssel.

Ein Anwendungskryptogramm (AC) -Schlüssel wird als Teil von EMV-Transaktionen verwendet, um das Transaktionskryptogramm zu generieren. Dabei handelt es sich um eine Art Kartenhauptschlüssel.

Ein SMI-Schlüssel (Secure Messaging Integrity) wird als Teil von EMV verwendet, um die Integrität von Payloads zu überprüfen, die über MAC an die Karte gesendet werden, z. B. von Pin-Aktualisierungsskripten. Es handelt sich um eine Art Hauptschlüssel für Karten.

Ein SMC-Schlüssel (Secure Messaging Confidentiality) wird als Teil von EMV verwendet, um an die Karte gesendete Daten zu verschlüsseln, z. B. PIN-Updates. Es handelt sich um eine Art Hauptschlüssel für Karten.

Ein Kartenverifizierungsschlüssel (CVK) ist ein Schlüssel, der zur Generierung von CVV-, CVV2- und ähnlichen Werten unter Verwendung eines definierten Algorithmus sowie zur Validierung einer Eingabe verwendet wird. Er wird als TR31_C0_CARD_VERIFICATION_KEY bezeichnet.

Ein Issuer Master Key (IMK) ist ein Masterschlüssel, der im Rahmen der Personalisierung von EMV-Chipkarten verwendet wird. In der Regel gibt es 3 IMKs — jeweils einen für AC- (Kryptogramm), SMI- (Skript-Masterschlüssel für Integrität/Signatur) und SMC-Schlüssel (Skript-Masterschlüssel für Vertraulichkeit/Verschlüsselung).

Ein Initialschlüssel (IK) ist der erste Schlüssel, der im DUKPT-Prozess verwendet wird. Er wird vom Base Derivation Key (BDK) abgeleitet. Mit diesem Schlüssel werden keine Transaktionen verarbeitet, aber er wird verwendet, um future Schlüssel abzuleiten, die für Transaktionen verwendet werden. Die Ableitungsmethode für die Erstellung eines IK wurde in X9. 24-1:2017 definiert. Wenn ein TDES-BDK verwendet wird, ist X9. 24-1:2009 der geltende Standard und IK wird durch den Initial Pin Encryption Key (IPEK) ersetzt.

Ein initialer PIN-Verschlüsselungsschlüssel (IPEK) ist der erste Schlüssel, der im DUKPT-Prozess verwendet wird. Er wird vom Base Derivation Key (BDK) abgeleitet. Mit diesem Schlüssel werden keine Transaktionen verarbeitet, aber er wird verwendet, um future Schlüssel abzuleiten, die für Transaktionen verwendet werden. IPEK ist eine Fehlbezeichnung, da dieser Schlüssel auch zur Ableitung von Datenverschlüsselung und Mac-Schlüsseln verwendet werden kann. Die Ableitungsmethode zur Erstellung eines IPEK wurde in X9. 24-1:2009 definiert. Wenn ein AES-BDK verwendet wird, ist X9. 24-1:2017 der geltende Standard und IPEK wird durch Initial Key (IK) ersetzt.

Ein Issuer Working Key (IWK) ist ein Schlüssel, der typischerweise für den Datenaustausch zwischen einem Emittenten/Emittenten und einem Netzwerk (wie Visa oder Mastercard) verwendet wird. In der Vergangenheit nutzte IWK 3DES zur Verschlüsselung und wurde als TR31_P0_PIN_ENCRYPTION_KEY dargestellt.

Ein Key Encryption Key (KEK) ist ein Schlüssel, mit dem andere Schlüssel entweder für die Übertragung oder Speicherung verschlüsselt werden. Schlüssel, die zum Schutz anderer Schlüssel bestimmt sind, haben laut Standard in der Regel den Wert TR31_K0_KEY_ENCRYPTION_KEY. KeyUsage TR-31

Ein PIN-Verschlüsselungsschlüssel (PEK) ist eine Art Arbeitsschlüssel, der zur Verschlüsselung von PINs entweder für die Speicherung oder Übertragung zwischen zwei Parteien verwendet wird. IWK und AWK sind zwei Beispiele für spezifische Anwendungen von PIN-Verschlüsselungsschlüsseln. Diese Schlüssel werden als TR31_P0_PIN_ENCRYPTION_KEY dargestellt.

PGK (Pin Generation Key) ist ein anderer Name für einen Pin-Bestätigungsschlüssel. Es wird nicht wirklich zur Generierung von Pins verwendet (bei denen es sich standardmäßig um kryptografische Zufallszahlen handelt), sondern stattdessen zur Generierung von Bestätigungswerten wie PVV.

Ein PIN-Bestätigungsschlüssel (PVK) ist eine Art Arbeitsschlüssel, der zur Generierung von PIN-Bestätigungswerten wie PVV verwendet wird. Die beiden gängigsten Typen sind TR31_V1_IBM3624_PIN_VERIFICATION_KEY, der für die Generierung von IBM3624-Offsetwerten verwendet wird, und TR31_V2_VISA_PIN_VERIFICATION_KEY, der für Visa/ABA-Bestätigungswerte verwendet wird. Dies kann auch als Pin-Generierungsschlüssel bezeichnet werden.

Das Authorization Request Cryptogram (ARQC) ist ein Kryptogramm, das während der Transaktion mit einer EMV-Standard-Chipkarte (oder einer gleichwertigen kontaktlosen Implementierung) generiert wird. In der Regel wird ein ARQC durch eine Chipkarte generiert und zur Überprüfung bei der Transaktion an einen Emittenten oder dessen Beauftragten weitergeleitet.

Ein Kartenprüfwert ist ein statischer geheimer Wert, der traditionell in einen Magnetstreifen eingebettet wurde und zur Überprüfung der Echtheit einer Transaktion verwendet wurde. Der Algorithmus wird auch für andere Zwecke wie iCVV, CAVV, CVV2 verwendet. Für andere Anwendungsfälle darf er nicht auf diese Weise eingebettet werden.

Ein Kartenprüfwert 2 ist ein statischer geheimer Wert, der traditionell auf der Vorder- (oder Rückseite) einer Zahlungskarte aufgedruckt wurde und zur Überprüfung der Echtheit von Zahlungen ohne Karte verwendet wird (z. B. am Telefon oder online). Er verwendet denselben Algorithmus wie CVV, der Servicecode ist jedoch auf 000 gesetzt.

iCVV ist ein CVV2-ähnlicher Wert, der jedoch in die Track2-äquivalenten Daten auf einer EMV-Karte (Chip) eingebettet ist. Dieser Wert wird anhand des Servicecodes 999 berechnet und unterscheidet sich vom CVV1/CVV2, um zu verhindern, dass gestohlene Informationen verwendet werden, um neue Zahlungsinformationen eines anderen Typs zu erstellen. Wenn beispielsweise Chip-Transaktionsdaten abgerufen wurden, ist es nicht möglich, diese Daten zur Generierung eines Magnetstreifens (CVV1) oder für Online-Einkäufe (CVV2) zu verwenden.

Es verwendet einen Schlüssel CVK

Derived Unique Key Per Transaction (DUKPT) ist ein Schlüsselverwaltungsstandard, der in der Regel verwendet wird, um die Verwendung von Verschlüsselungsschlüsseln zur einmaligen Verwendung an physischen POS/POI zu definieren. In der Vergangenheit nutzte DUKPT 3DES zur Verschlüsselung. Der Industriestandard für DUKPT ist in ANSI X9.24-3-2017 definiert.

EMV (ursprünglich Europay, Mastercard, Visa) ist ein technisches Gremium, das mit Interessenträgern im Zahlungsverkehr zusammenarbeitet, um interoperable Zahlungsstandards und -technologien zu entwickeln. Ein Beispiel für Standards sind Chip-/kontaktlose Karten und die Zahlungsterminals, mit denen sie interagieren, einschließlich der verwendeten Kryptografie. Die EMV-Schlüsselableitung bezieht sich auf Verfahren zur Generierung eindeutiger Schlüssel für jede Zahlungskarte auf der Grundlage eines anfänglichen Schlüsselsatzes, wie z. B. IMK

Ein Hardware-Sicherheitsmodul (HSM) ist ein physisches Gerät, das kryptografische Operationen (z. B. Verschlüsselung, Entschlüsselung und digitale Signaturen) sowie die zugrunde liegenden Schlüssel, die für diese Operationen verwendet werden, schützt.

Key Check Value (KCV) bezieht sich auf eine Vielzahl von Prüfsummenmethoden, die hauptsächlich dazu verwendet werden, Schlüssel miteinander zu vergleichen, ohne Zugriff auf das eigentliche Schlüsselmaterial zu haben. KCV wurde auch für die Integritätsprüfung verwendet (insbesondere beim Austausch von Schlüsseln), obwohl diese Rolle jetzt Teil von Schlüsselblockformaten wie z. TR-31 Bei TDES-Schlüsseln wird der KCV berechnet, indem 8 Byte, jedes mit dem Wert Null, verschlüsselt werden, wobei der zu prüfende Schlüssel und die 3 höchstwertigen Byte des verschlüsselten Ergebnisses beibehalten werden. Bei AES-Schlüsseln wird der KCV mithilfe eines CMAC-Algorithmus berechnet, bei dem die Eingabedaten aus 16 Byte Null bestehen und die 3 Byte der höchsten Ordnung des verschlüsselten Ergebnisses beibehalten werden.

Ein Key Distribution Host (KDH) ist ein Gerät oder System, das Schlüssel in einem Schlüsselaustauschprozess wie TR-34 sendet. Beim Senden von Schlüsseln aus AWS Payment Cryptography wird dies als KDH betrachtet.

Eine Key Injection Facility (KIF) ist eine sichere Einrichtung zur Initialisierung von Zahlungsterminals, einschließlich des Ladens dieser mit Verschlüsselungsschlüsseln.

Ein Schlüsselempfangsgerät (KRD) ist ein Gerät, das Schlüssel im Rahmen eines Schlüsselaustauschprozesses wie TR-34 empfängt. Beim Senden von Schlüsseln an AWS Payment Cryptography wird es als KRD betrachtet.

Eine Schlüsselseriennummer (KSN) ist ein Wert, der als Eingabe für die DUKPT-Verschlüsselung/Entschlüsselung verwendet wird, um eindeutige Verschlüsselungsschlüssel pro Transaktion zu erstellen. Die KSN besteht in der Regel aus einer BDK-Kennung, einer halbeindeutigen Terminal-ID sowie einem Transaktionszähler, der bei jedem auf einem bestimmten Zahlungsterminal verarbeiteten Übergang inkrementiert wird.

mPOC (Mobile Point of Sale on Commercial Hardware) ist ein PCI-Standard, der die Sicherheitsanforderungen für Lösungen berücksichtigt, die es Händlern ermöglichen, PINs von Karteninhabern oder kontaktlose Zahlungen mit einem Smartphone oder anderen kommerziellen off-the-shelf (COTS) Mobilgeräten zu akzeptieren.

Eine primäre Kontonummer (PAN) ist eine eindeutige Kennung für ein Konto, z. B. eine Kredit- oder Debitkarte. In der Regel 13 bis 19 Ziffern lang. Die ersten 6-8 Ziffern identifizieren das Netzwerk und die ausstellende Bank.

Ein Datenblock, der während der Verarbeitung oder Übertragung eine PIN sowie andere Datenelemente enthält. PIN-Blockformate standardisieren den Inhalt des PIN-Blocks und die Art und Weise, wie er verarbeitet werden kann, um die PIN abzurufen. Die meisten PIN-Blocks bestehen aus der PIN und der PIN-Länge und enthalten häufig einen Teil oder die gesamte PAN. AWS Die Zahlungskryptografie unterstützt die ISO 9564-1-Formate 0, 1, 3 und 4. Format 4 ist für AES-Schlüssel erforderlich. Bei der Überprüfung oder Übersetzung von PINs muss der PIN-Block der eingehenden oder ausgehenden Daten angegeben werden.

Point of Interaction (POI), auch häufig synonym mit Point of Sale (POS) verwendet, ist das Hardwaregerät, mit dem der Karteninhaber interagiert, um seine Zahlungsdaten vorzuzeigen. Ein Beispiel für einen POI ist das physische Terminal an einem Händlerstandort. Eine Liste der zertifizierten PCI-PTS-POI-Terminals finden Sie auf der PCI-Website.

Die PAN-Sequenznummer (PSN) ist ein numerischer Wert, der zur Unterscheidung mehrerer Karten verwendet wird, die mit derselben PAN ausgegeben wurden.

Bei der Verwendung von asymmetrischen Chiffren (RSA) ist der öffentliche Schlüssel die öffentliche Komponente eines öffentlich-privaten key pair. Der öffentliche Schlüssel kann freigegeben und an Entitäten verteilt werden, die Daten für den Besitzer des öffentlich-privaten Schlüsselpaars verschlüsseln müssen. Bei digitalen Signaturvorgängen wird der öffentliche Schlüssel verwendet, um die Signatur zu überprüfen.

Bei der Verwendung von asymmetrischen Chiffren (RSA) ist der private Schlüssel die private Komponente eines öffentlich-privaten key pair. Mit dem privaten Schlüssel werden dann Daten entschlüsselt oder digitale Signaturen erstellt. Ähnlich wie bei symmetrischen Schlüsseln für die AWS Zahlungskryptografie werden private Schlüssel auf sichere Weise von HSMs erstellt. Sie werden nur in den flüchtigen Speicher des HSM entschlüsselt und nur für die Zeit, die für die Bearbeitung Ihrer kryptografischen Anfrage benötigt wird.

Ein PIN-Bestätigungswert (PVV) ist eine Art kryptografischer Ausgabe, mit der eine PIN verifiziert werden kann, ohne dass die tatsächliche PIN gespeichert wird. Obwohl es sich um einen Oberbegriff handelt, bezieht sich PVV im Zusammenhang mit AWS Zahlungskryptografie auf die Visa- oder ABA-PVV-Methode. Bei dieser PVV handelt es sich um eine vierstellige Zahl, deren Eingaben die Kartennummer, die Pan-Sequenznummer, die Pan selbst und ein PIN-Bestätigungsschlüssel sind. Während der Validierungsphase erstellt AWS Payment Cryptography die PVV intern anhand der Transaktionsdaten neu und vergleicht sie erneut mit dem Wert, der vom Payment Cryptography-Kunden gespeichert wurde. AWS Auf diese Weise ähnelt es konzeptionell einem kryptografischen Hash oder MAC.

RSA Wrap verwendet einen asymmetrischen Schlüssel, um einen symmetrischen Schlüssel (z. B. einen TDES-Schlüssel) für die Übertragung an ein anderes System zu umschließen. Nur das System mit dem passenden privaten Schlüssel kann die Nutzdaten entschlüsseln und den symmetrischen Schlüssel laden. Umgekehrt entschlüsselt RSA Unwrap einen mit RSA verschlüsselten Schlüssel sicher und lädt den Schlüssel dann in die Zahlungskryptografie. AWS RSA Wrap ist eine Low-Level-Methode für den Austausch von Schlüsseln, bei der Schlüssel nicht im Schlüsselblockformat übertragen werden und auch keine Payload-Signierung durch die sendende Partei verwendet wird. Alternative Kontrollen sollten in Betracht gezogen werden, um sicherzustellen, dass Providence und Schlüsselattribute nicht verändert sind.

TR-34 verwendet RSA auch intern, ist jedoch ein separates Format und nicht interoperabel.

TR-31 (formal definiert als ANSI X9 TR 31) ist ein Schlüsselblockformat, das vom American National Standards Institute (ANSI) definiert wurde, um die Definition von Schlüsselattributen in derselben Datenstruktur wie die Schlüsseldaten selbst zu unterstützen. Das TR-31-Schlüsselblockformat definiert eine Reihe von Schlüsselattributen, die an den Schlüssel gebunden sind, sodass sie zusammengehalten werden. AWS Die Zahlungskryptografie verwendet, wann immer möglich, standardisierte TR-31-Begriffe, um eine korrekte Trennung der Schlüssel und den Hauptzweck zu gewährleisten. TR-31 wurde durch ANSI X9.143-2022 ersetzt.

TR-34 ist eine Implementierung von ANSI X9.24-2, in der ein Protokoll zur sicheren Verteilung symmetrischer Schlüssel (wie 3DES und AES) mithilfe asymmetrischer Techniken (wie RSA) beschrieben wurde. AWS Die Zahlungskryptografie verwendet TR-34-Methoden, um einen sicheren Import und Export von Schlüsseln zu ermöglichen.