Terminologie de l'industrie

Une clé de travail d'acquéreur (AWK) est une clé généralement utilisée pour échanger des données entre un acquéreur/processeur acquéreur et un réseau (tel que Visa ou Mastercard). Historiquement, AWK utilise 3DES pour le chiffrement et était représenté sous la forme TR31_P0_PIN_ENCRYPTION_KEY.

Une clé de dérivation de base (BDK) est une clé de travail utilisée pour dériver les clés suivantes. Elle est couramment utilisée dans le cadre des processus PCI PIN et PCI P2PE DUKPT. Il est noté TR31_B0_BASE_DERIVATION_KEY.

Une clé principale de carte (CMK) est une ou plusieurs clés spécifiques à une carte généralement dérivées d'une clé principale d'émetteur, d'un PAN et d'un PSN et sont généralement des clés 3DES. Ces clés sont stockées sur la puce EMV lors de la personnalisation. Les clés AC, SMI et SMC sont des exemples de CMK.

Une clé de cryptogramme d'application (AC) est utilisée dans le cadre des transactions EMV pour générer le cryptogramme de transaction et constitue un type de clé principale de carte.

Une clé d'intégrité de la messagerie sécurisée (SMI) est utilisée dans le cadre de l'EMV pour vérifier l'intégrité des charges utiles envoyées à la carte via MAC, telles que les scripts de mise à jour du code PIN. Il s'agit d'un type de clé principale de carte.

Une clé de confidentialité des messages sécurisés (SMC) est utilisée dans le cadre de l'EMV pour chiffrer les données envoyées à la carte, telles que les mises à jour du code PIN. Il s'agit d'un type de clé principale de carte.

Une clé de vérification de carte (CVK) est une clé utilisée pour générer des valeurs CVV, CVV2 et similaires à l'aide d'un algorithme défini, ainsi que pour valider une entrée. Il est désigné sous le nom de TR31_C0_CARD_VERIFICATION_KEY.

Une clé principale de l'émetteur (IMK) est une clé principale utilisée dans le cadre de la personnalisation des cartes à puce EMV. Il y aura généralement 3 IMK, une pour chacune des clés AC (cryptogramme), SMI (clé principale de script pour l'intégrité/signature) et SMC (clé principale de script pour la confidentialité/le chiffrement).

Une clé initiale (IK) est la première clé utilisée dans le processus DUKPT et dérive de la clé de dérivation de base (BDK). Aucune transaction n'est traitée sur cette clé, mais elle est utilisée pour dériver les futures clés qui seront utilisées pour les transactions. La méthode de dérivation pour créer un IK a été définie dans X9. 24-1:2017. Lorsqu'un TDES BDK est utilisé, X9. 24-1:2009 est la norme applicable et IK est remplacé par la clé IPEK (Initial Pin Encryption Key).

Une clé de chiffrement par code PIN initial (IPEK) est la clé initiale utilisée dans le processus DUKPT et dérive de la clé de dérivation de base (BDK). Aucune transaction n'est traitée sur cette clé, mais elle est utilisée pour dériver les futures clés qui seront utilisées pour les transactions. IPEK est un terme impropre car cette clé peut également être utilisée pour dériver le cryptage des données et les clés Mac. La méthode de dérivation pour créer un IPEK a été définie dans X9. 24-1:2009. Lorsqu'un AES BDK est utilisé, X9. 24-1:2017 est la norme applicable et l'IPEK est remplacé par Initial Key (IK).

Une clé de travail de l'émetteur (IWK) est une clé généralement utilisée pour échanger des données entre un émetteur/un processeur émetteur et un réseau (tel que Visa ou Mastercard). Historiquement, IWK utilise 3DES pour le chiffrement et est représenté sous la forme TR31_P0_PIN_ENCRYPTION_KEY.

Une clé de chiffrement (KEK) est une clé utilisée pour chiffrer d'autres clés à des fins de transmission ou de stockage. Les clés destinées à protéger d'autres clés ont généralement la valeur KeyUsage TR31_K0_KEY_ENCRYPTION_KEY conformément à la norme. TR-31

Une clé de cryptage PIN (PEK) est un type de clé fonctionnelle utilisée pour chiffrer des codes PIN à des fins de stockage ou de transmission entre deux parties. IWK et AWK sont deux exemples d'utilisations spécifiques des clés de chiffrement par code PIN. Ces clés sont représentées sous la forme TR31_P0_PIN_ENCRYPTION_KEY.

PGK (Pin Generation Key) est un autre nom pour une clé de vérification par code PIN. Il n'est pas réellement utilisé pour générer des épingles (qui sont par défaut des nombres cryptographiquement aléatoires) mais plutôt pour générer des valeurs de vérification telles que le PVV.

Une clé de vérification du code PIN (PVK) est un type de clé fonctionnelle utilisée pour générer des valeurs de vérification du code PIN telles que le code PVV. Les deux types les plus courants sont le TR31_V1_IBM3624_PIN_VERIFICATION_KEY utilisé pour générer les valeurs de décalage IBM3624 et le TR31_V2_VISA_PIN_VERIFICATION_KEY utilisé pour les valeurs de vérification Visa/ABA. Cela peut également être connu sous le nom de clé de génération de code PIN.

Le cryptogramme de demande d'autorisation (ARQC) est un cryptogramme généré au moment de la transaction par une carte à puce standard EMV (ou une implémentation sans contact équivalente). Généralement, un ARQC est généré par une carte à puce et transmis à un émetteur ou à son agent pour vérification au moment de la transaction.

Une valeur de vérification de carte est une valeur secrète statique qui était traditionnellement intégrée sur une bande magnétique et utilisée pour valider l'authenticité d'une transaction. L'algorithme est également utilisé à d'autres fins telles que iCVV, CAVV, CVV2. Il se peut qu'il ne soit pas intégré de cette manière pour d'autres cas d'utilisation.

Une valeur de vérification de carte 2 est une valeur secrète statique qui était traditionnellement imprimée au recto (ou au verso) d'une carte de paiement et utilisée pour vérifier l'authenticité des paiements sans carte (par exemple au téléphone ou en ligne). Il utilise le même algorithme que le CVV mais le code de service est défini sur 000.

iCVV est une valeur similaire à CVv2 mais incorporée aux données équivalentes à track2 sur une carte EMV (Chip). Cette valeur est calculée à l'aide d'un code de service 999 et est différente du code CVV1/CVV2 afin d'empêcher que des informations volées ne soient utilisées pour créer de nouveaux identifiants de paiement d'un type différent. Par exemple, si des données de transaction par puce ont été obtenues, il n'est pas possible de les utiliser pour générer une bande magnétique (CVV1) ou pour des achats en ligne (CVV2).

Il utilise une CVK clé

La clé unique dérivée par transaction (DUKPT) est une norme de gestion des clés généralement utilisée pour définir l'utilisation de clés de chiffrement à usage unique sur les POS/POI physiques. Historiquement, DUKPT utilise 3DES pour le chiffrement. La norme industrielle pour le DUKPT est définie dans la norme ANSI X9.24-3-2017.

EMV (initialement Europay, Mastercard, Visa) est un organisme technique qui travaille avec les parties prenantes du secteur des paiements pour créer des normes et des technologies de paiement interopérables. Un exemple de norme concerne les cartes à puce/sans contact et les terminaux de paiement avec lesquels elles interagissent, y compris la cryptographie utilisée. La dérivation de clés EMV fait référence à des méthodes permettant de générer des clés uniques pour chaque carte de paiement sur la base d'un ensemble initial de clés tel qu'un IMK

Un module de sécurité matériel (HSM) est un dispositif physique qui protège les opérations cryptographiques (par exemple, le chiffrement, le déchiffrement et les signatures numériques) ainsi que les clés sous-jacentes utilisées pour ces opérations.

La valeur de contrôle des clés (KCV) fait référence à une variété de méthodes de somme de contrôle principalement utilisées pour comparer les clés les unes aux autres sans avoir accès au contenu clé réel. Les KCV ont également été utilisés pour la validation de l'intégrité (en particulier lors de l'échange de clés), bien que ce rôle soit désormais inclus dans les formats de blocs de clés tels que TR-31. Pour les clés TDES, le KCV est calculé en chiffrant 8 octets, chacun ayant une valeur de zéro, avec la clé à vérifier et en conservant les 3 octets d'ordre le plus élevé du résultat chiffré. Pour les clés AES, le KCV est calculé à l'aide d'un algorithme CMAC où les données d'entrée sont de 16 octets de zéro et en conservant les 3 octets d'ordre le plus élevé du résultat chiffré.

Un hôte de distribution de clés (KDH) est un appareil ou un système qui envoie des clés dans le cadre d'un processus d'échange de clés tel que le TR-34. Lors de l'envoi de clés depuis AWS Payment Cryptography, il est considéré comme le KDH.

Une installation d'injection de clés (KIF) est une installation sécurisée utilisée pour initialiser les terminaux de paiement, notamment pour les charger avec des clés de chiffrement.

Un dispositif de réception de clés (KRD) est un appareil qui reçoit des clés dans le cadre d'un processus d'échange de clés tel que le TR-34. Lorsque vous envoyez des clés à AWS Payment Cryptography, celle-ci est considérée comme le KRD.

Un numéro de série de clé (KSN) est une valeur utilisée comme entrée pour le chiffrement/déchiffrement DUKPT afin de créer des clés de chiffrement uniques par transaction. Le KSN se compose généralement d'un identifiant BDK, d'un identifiant de terminal semi-unique ainsi que d'un compteur de transactions qui s'incrémente à chaque transition traitée sur un terminal de paiement donné.

Le mPOC (point de vente mobile sur matériel commercial) est une norme PCI qui répond aux exigences de sécurité des solutions permettant aux commerçants d'accepter les codes PIN des titulaires de carte ou les paiements sans contact à l'aide d'un smartphone ou d'autres appareils mobiles commerciaux off-the-shelf (COTS).

Un numéro de compte principal (PAN) est un identifiant unique pour un compte tel qu'une carte de crédit ou de débit. Généralement de 13 à 19 chiffres. Les 6 à 8 premiers chiffres identifient le réseau et la banque émettrice.

Bloc de données contenant un code PIN pendant le traitement ou la transmission ainsi que d'autres éléments de données. Les formats de bloc PIN normalisent le contenu du bloc PIN et la manière dont il peut être traité pour récupérer le code PIN. La plupart des blocs PIN sont composés du code PIN, de la longueur du code PIN, et contiennent souvent une partie ou la totalité du PAN. AWS La cryptographie des paiements prend en charge les formats ISO 9564-1 0, 1, 3 et 4. Le format 4 est requis pour les clés AES. Lors de la vérification ou de la traduction des codes PIN, il est nécessaire de spécifier le bloc PIN des données entrantes ou sortantes.

Le point d'interaction (POI), également fréquemment utilisé comme synonyme de point de vente (POS), est le périphérique matériel avec lequel le titulaire de la carte interagit pour présenter son identifiant de paiement. Un exemple de POI est le terminal physique situé sur le site d'un commerçant. Pour consulter la liste des terminaux PCI PTS POI certifiés, consultez le site Web PCI.

Le numéro de séquence PAN (PSN) est une valeur numérique utilisée pour différencier plusieurs cartes émises avec le même PAN.

Lors de l'utilisation de chiffrements asymétriques (RSA), la clé publique est le composant public d'une paire de clés publique-privée. La clé publique peut être partagée et distribuée aux entités qui ont besoin de chiffrer les données pour le propriétaire de la paire de clés publique-privée. Pour les opérations de signature numérique, la clé publique est utilisée pour vérifier la signature.

Lors de l'utilisation de chiffrements asymétriques (RSA), la clé privée est le composant privé d'une paire de clés publique-privée. La clé privée est utilisée pour déchiffrer des données ou créer des signatures numériques. À l'instar des clés de cryptographie AWS de paiement symétriques, les clés privées sont créées de manière sécurisée par les HSM. Ils sont déchiffrés uniquement dans la mémoire volatile du HSM et uniquement pendant le temps nécessaire au traitement de votre demande cryptographique.

Une valeur de vérification du code PIN (PVV) est un type de sortie cryptographique qui peut être utilisé pour vérifier un code PIN sans enregistrer le code PIN réel. Bien qu'il s'agisse d'un terme générique, dans le contexte de la cryptographie des AWS paiements, PVV fait référence à la méthode PVV Visa ou ABA. Ce PVV est un numéro à quatre chiffres dont les entrées sont le numéro de carte, le numéro de séquence Pan, le PAN lui-même et une clé de vérification du code PIN. Au cours de la phase de validation, AWS Payment Cryptography recrée en interne le PVV à l'aide des données de transaction et le compare à nouveau à la valeur enregistrée par le client de AWS Payment Cryptography. De cette façon, il est conceptuellement similaire à un hachage cryptographique ou à un MAC.

L'encapsulation RSA utilise une clé asymétrique pour encapsuler une clé symétrique (telle qu'une clé TDES) afin de la transmettre à un autre système. Seul le système possédant la clé privée correspondante peut déchiffrer la charge utile et charger la clé symétrique. À l'inverse, RSA unwrap déchiffre en toute sécurité une clé chiffrée à l'aide de RSA, puis la charge dans le chiffrement des paiements. AWS L'encapsulation RSA est une méthode d'échange de clés de bas niveau qui ne transmet pas les clés sous forme de blocs de clés et n'utilise pas de signature de charge utile par l'expéditeur. Des contrôles alternatifs doivent être envisagés pour vérifier si les attributs clés ne sont pas modifiés.

Le TR-34 utilise également le RSA en interne, mais il s'agit d'un format distinct et n'est pas interopérable.

Le TR-31 (officiellement défini comme ANSI X9 TR 31) est un format de bloc clé défini par l'American National Standards Institute (ANSI) pour permettre de définir les attributs clés dans la même structure de données que les données clés elles-mêmes. Le format de bloc de touches TR-31 définit un ensemble d'attributs clés liés à la clé afin qu'ils soient maintenus ensemble. AWS La cryptographie des paiements utilise les termes normalisés TR-31 dans la mesure du possible pour garantir une séparation correcte des clés et l'objectif des clés. Le TR-31 a été remplacé par la norme ANSI X9.143-2022.

Le TR-34 est une implémentation de la norme ANSI X9.24-2 qui décrit un protocole permettant de distribuer de manière sécurisée des clés symétriques (telles que 3DES et AES) à l'aide de techniques asymétriques (telles que RSA). AWS La cryptographie des paiements utilise les méthodes TR-34 pour permettre l'importation et l'exportation sécurisées des clés.