Branchenterminologie

Ein Acquirer Working Key (AWK) ist ein Schlüssel, der typischerweise für den Datenaustausch zwischen einem acquirer/acquirer Prozessor und einem Netzwerk (wie Visa oder Mastercard) verwendet wird. In der Vergangenheit nutzte AWK 3DES zur Verschlüsselung und wurde als TR31_P0_PIN_ENCRYPTION_KEY dargestellt.

Ein Basisableitungsschlüssel (Base Derivation Key, BDK) ist ein funktionierender Schlüssel, der häufig als Teil des PCI-PIN- und PCI P2PE-DUKPT-Prozesses verwendet wird. Er wird als TR31_B0_BASE_DERIVATION_KEY bezeichnet.

Ein Kartenhauptschlüssel (CMK) ist ein oder mehrere kartenspezifische Schlüssel, die in der Regel von einem Issuer Master Key, PAN und PSN abgeleitet werden und sind in der Regel 3DES-Schlüssel. Diese Schlüssel werden während der Personalisierung auf dem EMV-Chip gespeichert. Beispiele für CMKs sind AC-, SMI- und SMC-Schlüssel.

Ein Anwendungskryptogrammschlüssel (AC) wird als Teil von EMV-Transaktionen verwendet, um das Transaktionskryptogramm zu generieren. Dabei handelt es sich um eine Art Kartenhauptschlüssel.

Ein SMI-Schlüssel (Secure Messaging Integrity) wird als Teil von EMV verwendet, um die Integrität von Payloads zu überprüfen, die mithilfe von MAC an die Karte gesendet werden, z. B. von Pin-Aktualisierungsskripten. Es handelt sich um eine Art Hauptschlüssel für Karten.

Ein SMC-Schlüssel (Secure Messaging Confidentiality) wird als Teil von EMV verwendet, um an die Karte gesendete Daten zu verschlüsseln, z. B. PIN-Updates. Es handelt sich um eine Art Hauptschlüssel für Karten.

Ein Kartenverifikationsschlüssel (CVK) ist ein Schlüssel, der zur Generierung von CVV-, CVV2- und ähnlichen Werten unter Verwendung eines definierten Algorithmus sowie zur Validierung einer Eingabe verwendet wird. Er wird als TR31_C0_CARD_VERIFICATION_KEY bezeichnet.

Ein Issuer Master Key (IMK) ist ein Masterschlüssel, der im Rahmen der Personalisierung von EMV-Chipkarten verwendet wird. In der Regel gibt es 3 IMKs — jeweils einen für AC-Schlüssel (Kryptogramm), SMI- (Skript-Masterschlüssel für integrity/signature) und SMC-Schlüssel (Skript-Masterschlüssel für). confidentiality/encryption

Ein Anfangsschlüssel (IK) ist der erste Schlüssel, der im DUKPT-Prozess verwendet wird. Er wird vom Base Derivation Key (BDK) abgeleitet. Mit diesem Schlüssel werden keine Transaktionen verarbeitet, aber er wird verwendet, um future Schlüssel abzuleiten, die für Transaktionen verwendet werden. Die Ableitungsmethode für die Erstellung eines IK wurde in definiert. X9.24-1:2017 Wenn ein TDES-BDK verwendet wird, gilt der geltende Standard und IK X9.24-1:2009 wird durch den Initial Pin Encryption Key (IPEK) ersetzt.

Ein initialer PIN-Verschlüsselungsschlüssel (IPEK) ist der erste Schlüssel, der im DUKPT-Prozess verwendet wird. Er wird vom Base Derivation Key (BDK) abgeleitet. Mit diesem Schlüssel werden keine Transaktionen verarbeitet, aber er wird verwendet, um future Schlüssel abzuleiten, die für Transaktionen verwendet werden. IPEK ist eine Fehlbezeichnung, da dieser Schlüssel auch zur Ableitung von Datenverschlüsselung und Mac-Schlüsseln verwendet werden kann. Die Ableitungsmethode für die Erstellung eines IPEK wurde in definiert. X9.24-1:2009 Wenn ein AES-BDK verwendet wird, X9.24-1:2017 gilt der geltende Standard und IPEK wird durch Initial Key (IK) ersetzt.

Ein Issuer Working Key (IWK) ist ein Schlüssel, der typischerweise für den Datenaustausch zwischen einem issuer/issuer Prozessor und einem Netzwerk (wie Visa oder Mastercard) verwendet wird. In der Vergangenheit nutzte IWK 3DES zur Verschlüsselung und wurde als TR31_P0_PIN_ENCRYPTION_KEY dargestellt.

Ein Key Block Encryption Key (KBPK) ist eine Art symmetrischer Schlüssel, der zum Schutz von Schlüsselblöcken und damit wrap/encrypt anderen Schlüsseln verwendet wird. Ein KBPK ähnelt einem KEK, aber ein KEK schützt das Schlüsselmaterial direkt, wohingegen in TR-31 und ähnlichen Schemata das KBPK den Arbeitsschlüssel nur indirekt schützt. Bei der Verwendung ist TR31_K1_KEY_BLOCK_PROTECTION_KEY der richtige Schlüsseltyp TR-31, obwohl TR31_K0_KEY_ENCRYPTION_KEY für historische Zwecke synonym unterstützt wird.

Ein Key Encryption Key (KEK) ist ein Schlüssel, mit dem andere Schlüssel entweder für die Übertragung oder Speicherung verschlüsselt werden. Schlüssel, die zum Schutz anderer Schlüssel bestimmt sind, haben laut Standard in der Regel den Wert TR31_K0_KEY_ENCRYPTION_KEY. KeyUsage TR-31

Ein PIN-Verschlüsselungsschlüssel (PEK) ist eine Art Arbeitsschlüssel, der zur Verschlüsselung von PINs entweder für die Speicherung oder Übertragung zwischen zwei Parteien verwendet wird. IWK und AWK sind zwei Beispiele für spezifische Anwendungen von PIN-Verschlüsselungsschlüsseln. Diese Schlüssel werden als TR31_P0_PIN_ENCRYPTION_KEY dargestellt.

PGK (Pin Generation Key) ist ein anderer Name für einen Pin-Bestätigungsschlüssel. Es wird nicht wirklich zur Generierung von Pins verwendet (bei denen es sich standardmäßig um kryptografische Zufallszahlen handelt), sondern stattdessen zur Generierung von Bestätigungswerten wie PVV.

Der Schlüssel für die primäre Region ist die autoritative Replikationsquelle für einen bestimmten Zahlungskryptografie-Schlüssel, für den die Replikation aktiviert wurde. PRK ist ein Verweis auf eine Schlüsselrolle bei der Zahlungskryptografie als Quelle in einer Multi-Region Konfiguration für die Schlüsselreplikation. Wenn die Replikation für einen Payment Cryptography Key aktiviert ist, wird sie für diese spezielle Schlüsselreplikationskonfiguration als PRK bezeichnet.

Ein PIN-Bestätigungsschlüssel (PVK) ist eine Art Arbeitsschlüssel, der zur Generierung von PIN-Bestätigungswerten wie PVV verwendet wird. Die beiden gängigsten Typen sind TR31_V1_IBM3624_PIN_VERIFICATION_KEY, der zum Generieren von IBM3624-Offsetwerten verwendet wird, und TR31_V2_VISA_PIN_VERIFICATION_KEY, der für Bestätigungswerte verwendet wird. Visa/ABA Dies kann auch als Pin-Generierungsschlüssel bezeichnet werden.

Bei den Regionsschlüsseln für Replikate handelt es sich um das replizierte Schlüsselmaterial und die Metadaten, die sicher aus dem PRK in ein konfiguriertes Replikat kopiert wurden. AWS-Region Ein RRK ist eine schreibgeschützte Replik eines Zahlungskryptografie-Schlüssels. RRK ist eine Referenz für die Rolle, die ein bestimmter Schlüssel in einer Multi-Region Konfiguration für die Schlüsselreplikation spielt. Alle wichtigen Änderungen an den Metadaten, einschließlich der Replikationseinstellungen, müssen auf das PRK angewendet werden.

Das Authorization Request Cryptogram (ARQC) ist ein Kryptogramm, das während der Transaktion mit einer EMV-Standard-Chipkarte (oder einer gleichwertigen kontaktlosen Implementierung) generiert wird. In der Regel wird ein ARQC durch eine Chipkarte generiert und zur Überprüfung bei der Transaktion an einen Emittenten oder dessen Beauftragten weitergeleitet.

Ein Kartenprüfwert ist ein statischer geheimer Wert, der traditionell in einen Magnetstreifen eingebettet wurde und zur Überprüfung der Echtheit einer Transaktion verwendet wurde. Der Algorithmus wird auch für andere Zwecke wie iCVV, CAVV, CVV2 verwendet. Für andere Anwendungsfälle darf er nicht auf diese Weise eingebettet werden.

Ein Kartenprüfwert 2 ist ein statischer geheimer Wert, der traditionell auf der Vorder- (oder Rückseite) einer Zahlungskarte aufgedruckt wurde und zur Überprüfung der Echtheit von Zahlungen ohne Karte verwendet wird (z. B. am Telefon oder online). Er verwendet denselben Algorithmus wie CVV, der Servicecode ist jedoch auf 000 gesetzt.

iCVV ist ein CVV2-like Wert, der jedoch in die Track2-äquivalenten Daten auf einer EMV-Karte (Chip) eingebettet ist. Dieser Wert wird anhand des Servicecodes 999 berechnet und unterscheidet sich von dem, CVV1/CVV2 um zu verhindern, dass gestohlene Informationen verwendet werden, um neue Zahlungsinformationen eines anderen Typs zu erstellen. Wenn beispielsweise Chip-Transaktionsdaten abgerufen wurden, ist es nicht möglich, diese Daten zur Generierung eines Magnetstreifens (CVV1) oder für Online-Käufe (CVV2) zu verwenden.

Es verwendet einen Schlüssel CVK

Derived Unique Key Per Transaction (DUKPT) ist ein Schlüsselverwaltungsstandard, der in der Regel verwendet wird, um die Verwendung von einmalig verwendbaren Verschlüsselungsschlüsseln auf physischen Geräten zu definieren. POS/POI In der Vergangenheit nutzte DUKPT 3DES zur Verschlüsselung. Der Industriestandard für DUKPT ist in ANSI definiert. X9.24-3-2017

ECC (Elliptic Curve Cryptography) ist ein Kryptografiesystem mit öffentlichen Schlüsseln, das die Mathematik elliptischer Kurven zur Erstellung von Verschlüsselungsschlüsseln verwendet. ECC bietet das gleiche Sicherheitsniveau wie herkömmliche Methoden wie RSA, jedoch mit viel kürzeren Schlüssellängen, wodurch gleichwertige Sicherheit auf effizientere Weise gewährleistet wird. Dies ist besonders relevant für Anwendungsfälle, in denen RSA keine praktische Lösung ist (RSA-Schlüssellänge > 4096 Bit). AWS Die Zahlungskryptografie unterstützt von NIST definierte Kurven zur Verwendung in ECDH-Operationen.

ECDH (Elliptic Curve Diffie-Hellman) ist ein wichtiges Vertragsprotokoll, das es zwei Parteien ermöglicht, ein gemeinsames Geheimnis (z. B. ein KEK oder ein PEK) festzulegen. In ECDH haben Partei A und B jeweils ihre eigenen öffentlich-privaten Schlüsselpaare und tauschen untereinander öffentliche Schlüssel (in Form von Zertifikaten für AWS Zahlungskryptografie) sowie Metadaten zur Schlüsselableitung (Ableitungsmethode, Hashtyp und gemeinsame Informationen) aus. Beide Parteien multiplizieren ihren privaten Schlüssel mit dem öffentlichen Schlüssel des jeweils anderen, und aufgrund der Eigenschaften elliptischer Kurven können beide Parteien den resultierenden Schlüssel ableiten (generieren).

EMV (ursprünglich Europay, Mastercard, Visa) ist ein technisches Gremium, das mit Interessenträgern im Zahlungsverkehr zusammenarbeitet, um interoperable Zahlungsstandards und -technologien zu entwickeln. Ein Beispiel für Standards sind chip/contactless Karten und die Zahlungsterminals, mit denen sie interagieren, einschließlich der verwendeten Kryptografie. Die EMV-Schlüsselableitung bezieht sich auf Verfahren zur Generierung eindeutiger Schlüssel für jede Zahlungskarte auf der Grundlage eines anfänglichen Schlüsselsatzes, wie z. B. IMK

Ein Hardware-Sicherheitsmodul (HSM) ist ein physisches Gerät, das kryptografische Operationen (z. B. Verschlüsselung, Entschlüsselung und digitale Signaturen) sowie die zugrunde liegenden Schlüssel, die für diese Operationen verwendet werden, schützt.

A Key Custodian As A Service (KCAAS) bietet eine Vielzahl von Dienstleistungen rund um das Schlüsselmanagement an. Bei Zahlungsschlüsseln können sie in der Regel papierbasierte Schlüsselkomponenten in elektronische Formulare umwandeln, die von AWS Payment Cryptography unterstützt werden, oder elektronisch geschützte Schlüssel in papierbasierte Komponenten umwandeln, die möglicherweise von bestimmten Anbietern benötigt werden. Sie können auch wichtige Treuhanddienste für Schlüssel anbieten, deren Verlust sich nachteilig auf Ihren laufenden Betrieb auswirken würde. KCAAS-Anbieter sind in der Lage, Kunden dabei zu unterstützen, den betrieblichen Aufwand für die Verwaltung von Schlüsselmaterial außerhalb eines sicheren Dienstes wie AWS Zahlungskryptografie auf eine Weise zu übernehmen, die den PCI-DSS-, PCI-PIN- und PCI P2PE-Standards entspricht. AWS Payment Cryptography bietet Physischer Schlüsselaustausch als integrierte KCAAS-Funktion die Umwandlung von papierbasierten Schlüsselkomponenten in ein elektronisches Format.

Key Check Value (KCV) bezieht sich auf eine Vielzahl von Prüfsummenmethoden, die hauptsächlich dazu verwendet werden, Schlüssel miteinander zu vergleichen, ohne Zugriff auf das eigentliche Schlüsselmaterial zu haben. KCV wurde auch für die Integritätsprüfung verwendet (insbesondere beim Austausch von Schlüsseln), obwohl diese Rolle jetzt Teil von Schlüsselblockformaten wie z. TR-31 Bei TDES-Schlüsseln wird der KCV berechnet, indem 8 Byte, jedes mit dem Wert Null, verschlüsselt werden, wobei der zu prüfende Schlüssel und die 3 höchstwertigen Byte des verschlüsselten Ergebnisses beibehalten werden. Bei AES-Schlüsseln wird der KCV mithilfe eines CMAC-Algorithmus berechnet, bei dem die Eingabedaten aus 16 Byte Null bestehen und die 3 Byte der höchsten Ordnung des verschlüsselten Ergebnisses beibehalten werden.

Ein Key Distribution Host (KDH) ist ein Gerät oder System, das Schlüssel in einem Schlüsselaustauschprozess sendet, wie z. TR-34 Beim Senden von Schlüsseln aus AWS Payment Cryptography wird dies als KDH betrachtet.

Eine Key Injection Facility (KIF) ist eine sichere Einrichtung zur Initialisierung von Zahlungsterminals, einschließlich des Ladens dieser mit Verschlüsselungsschlüsseln.

Ein Schlüsselempfangsgerät (KRD) ist ein Gerät, das Schlüssel in einem Schlüsselaustauschprozess empfängt, wie z. TR-34 Beim Senden von Schlüsseln an AWS Payment Cryptography wird es als KRD betrachtet.

Eine Schlüsselseriennummer (KSN) ist ein Wert, der als Eingabe für DUKPT verwendet wird, um eindeutige Verschlüsselungsschlüssel pro Transaktion encryption/decryption zu erstellen. Die KSN besteht in der Regel aus einer BDK-Kennung, einer halbeindeutigen Terminal-ID sowie einem Transaktionszähler, der bei jedem Übergang, der an einem bestimmten Zahlungsterminal verarbeitet wird, inkrementiert. Gemäß X9.24 TDES besteht das 10-Byte-KSN typischerweise aus 24 Bit für die Key Set ID, 19 Bit für die Terminal ID und 21 Bit für den Transaktionszähler, obwohl die Grenze zwischen Key Set ID und Terminal ID keinen Einfluss auf die Funktion der Zahlungskryptografie hat. AWS Bei AES besteht das 12-Byte-KSN typischerweise aus 32 Bit für die BDK-ID, 32 Bit für den Derivation Identifier (ID) und 32 Bit für den Transaktionszähler.

mPOC (Mobile Point of Sale on Commercial Hardware) ist ein PCI-Standard, der die Sicherheitsanforderungen für Lösungen berücksichtigt, die es Händlern ermöglichen, PINs von Karteninhabern oder kontaktlose Zahlungen mit einem Smartphone oder anderen handelsüblichen Mobilgeräten (COTS) zu akzeptieren.

Eine primäre Kontonummer (PAN) ist eine eindeutige Kennung für ein Konto, z. B. eine Kredit- oder Debitkarte. In der Regel 13 bis 19 Ziffern lang. Die ersten 6-8 Ziffern identifizieren das Netzwerk und die ausstellende Bank.

Ein Datenblock, der während der Verarbeitung oder Übertragung eine PIN sowie andere Datenelemente enthält. PIN-Blockformate standardisieren den Inhalt des PIN-Blocks und die Art und Weise, wie er verarbeitet werden kann, um die PIN abzurufen. Die meisten PIN-Blocks bestehen aus der PIN und der PIN-Länge und enthalten häufig einen Teil oder die gesamte PAN. AWS Die Zahlungskryptografie unterstützt die ISO 9564-1-Formate 0, 1, 3 und 4. Format 4 ist für AES-Schlüssel erforderlich. Bei der Überprüfung oder Übersetzung von PINs muss der PIN-Block der eingehenden oder ausgehenden Daten angegeben werden.

Point of Interaction (POI), auch häufig anonym bei Point of Sale (POS) verwendet, ist das Hardwaregerät, mit dem der Karteninhaber interagiert, um seine Zahlungsdaten vorzuzeigen. Ein Beispiel für einen POI ist das physische Terminal an einem Händlerstandort. Eine Liste der zertifizierten PCI-PTS-POI-Terminals finden Sie auf der PCI-Website.

Die PAN-Sequenznummer (PSN) ist ein numerischer Wert, der zur Unterscheidung mehrerer Karten verwendet wird, die mit derselben PAN ausgegeben wurden.

Bei der Verwendung asymmetrischer Chiffren (RSA, ECC) ist der öffentliche Schlüssel die öffentliche Komponente eines öffentlich-privaten key pair. Der öffentliche Schlüssel kann freigegeben und an Entitäten verteilt werden, die Daten für den Besitzer des öffentlich-privaten Schlüsselpaars verschlüsseln müssen. Bei digitalen Signaturvorgängen wird der öffentliche Schlüssel verwendet, um die Signatur zu überprüfen.

Bei der Verwendung asymmetrischer Chiffren (RSA, ECC) ist der private Schlüssel die private Komponente eines öffentlich-privaten key pair. Mit dem privaten Schlüssel werden dann Daten entschlüsselt oder digitale Signaturen erstellt. Ähnlich wie bei symmetrischen Schlüsseln für die AWS Zahlungskryptografie werden private Schlüssel von HSMs sicher erstellt. Sie werden nur in den flüchtigen Speicher des HSM entschlüsselt und nur für die Zeit, die für die Bearbeitung Ihrer kryptografischen Anfrage benötigt wird.

Ein PIN-Bestätigungswert (PVV) ist eine Art kryptografischer Ausgabe, mit der eine PIN verifiziert werden kann, ohne dass die tatsächliche PIN gespeichert wird. Obwohl es sich um einen Oberbegriff handelt, bezieht sich PVV im Zusammenhang mit AWS Zahlungskryptografie auf die Visa- oder ABA-PVV-Methode. Bei dieser PVV handelt es sich um eine vierstellige Zahl, deren Eingaben die Kartennummer, die Pan-Sequenznummer, die Pan selbst und ein PIN-Bestätigungsschlüssel sind. Während der Validierungsphase erstellt AWS Payment Cryptography die PVV intern anhand der Transaktionsdaten neu und vergleicht sie erneut mit dem Wert, der vom Payment Cryptography-Kunden gespeichert wurde. AWS Auf diese Weise ähnelt es konzeptionell einem kryptografischen Hash oder MAC.

RSA Wrap verwendet einen asymmetrischen Schlüssel, um einen symmetrischen Schlüssel (z. B. einen TDES-Schlüssel) für die Übertragung an ein anderes System zu umschließen. Nur das System mit dem passenden privaten Schlüssel kann die Nutzdaten entschlüsseln und den symmetrischen Schlüssel laden. Umgekehrt entschlüsselt RSA Unwrap einen mit RSA verschlüsselten Schlüssel sicher und lädt den Schlüssel dann in die Zahlungskryptografie. AWS RSA Wrap ist eine Low-Level-Methode für den Austausch von Schlüsseln, bei der Schlüssel nicht im Schlüsselblockformat übertragen werden und auch keine Payload-Signierung durch die sendende Partei verwendet wird. Alternative Kontrollen sollten in Betracht gezogen werden, um sicherzustellen, dass Providence und Schlüsselattribute nicht verändert sind.

TR-34 verwendet RSA auch intern, ist jedoch ein eigenständiges Format und daher nicht interoperabel.

TR-31 (formal als ANSI X9 TR 31 definiert) ist ein Schlüsselblockformat, das vom American National Standards Institute (ANSI) so definiert wurde, dass es die Definition von Schlüsselattributen in derselben Datenstruktur wie die Schlüsseldaten selbst unterstützt. Das TR-31 Schlüsselblockformat definiert eine Reihe von Schlüsselattributen, die an den Schlüssel gebunden sind, sodass sie zusammengehalten werden. AWS Bei der Zahlungskryptografie werden wann immer möglich TR-31 standardisierte Begriffe verwendet, um eine korrekte Trennung der Schlüssel und den Hauptzweck zu gewährleisten. TR-31 wurde durch ANSI ersetzt. X9.143-2022

TR-34 ist eine Implementierung von ANSI X9.24-2 , in der ein Protokoll zur sicheren Verteilung symmetrischer Schlüssel (wie 3DES und AES) mithilfe asymmetrischer Techniken (wie RSA) beschrieben wurde. AWS Die Zahlungskryptografie verwendet TR-34 Methoden, um einen sicheren Import und Export von Schlüsseln zu ermöglichen.

X9.143 ist ein Schlüsselblockformat, das vom American National Standards Institute (ANSI) definiert wurde, um die Sicherung eines Schlüssels und von Schlüsselattributen in derselben Datenstruktur zu unterstützen. Das Schlüsselblockformat definiert eine Reihe von Schlüsselattributen, die an den Schlüssel gebunden sind, sodass sie zusammengehalten werden. AWS Bei der Zahlungskryptografie werden wann immer möglich X9.143 standardisierte Begriffe verwendet, um eine korrekte Trennung der Schlüssel und den Hauptzweck zu gewährleisten. X9.143 ersetzt den früheren TR-31Vorschlag, obwohl sie in den meisten Fällen rückwärts- und vorwärtskompatibel sind und die Begriffe häufig synonym verwendet werden.