Terminologia di settore

Una chiave di lavoro dell'acquirer (AWK) è una chiave tipicamente utilizzata per lo scambio di dati tra un processore acquirer/acquirer e una rete (come Visa o Mastercard). Storicamente AWK utilizza 3DES per la crittografia e veniva rappresentato come _P0_PIN_ENCRYPTION_KEY. TR31

Una chiave di derivazione di base (BDK) è una chiave di lavoro utilizzata per derivare chiavi successive ed è comunemente usata come parte del processo PCI PIN e PCI P2PE DUKPT. È indicata come _B0_BASE_DERIVATION_KEY. TR31

Una card master key (CMK) è una o più chiavi specifiche per una scheda tipicamente derivate da una chiave master dell'emittente, PAN e PSN e sono in genere chiavi 3DES. Queste chiavi vengono memorizzate sul chip EMV durante la personalizzazione. Alcuni esempi CMKs includono le chiavi AC, SMI e SMC.

Una chiave di crittografia dell'applicazione (AC) viene utilizzata come parte delle transazioni EMV per generare il crittogramma della transazione ed è un tipo di chiave master della carta.

Una chiave SMI (Secure Messaging Integrity) viene utilizzata come parte di EMV per verificare l'integrità dei payload inviati alla scheda tramite MAC, ad esempio gli script di aggiornamento dei pin. È un tipo di chiave principale della carta.

Una chiave SMC (Secure Messaging Reservatezza) viene utilizzata come parte di EMV per crittografare i dati inviati alla scheda, come gli aggiornamenti dei pin. È un tipo di chiave master della carta.

Una chiave di verifica della carta (CVK) è una chiave utilizzata per generare CVV e valori simili utilizzando un algoritmo definito CVV2 e per convalidare un input. È indicata come _C0_CARD_VERIFICATION_KEY. TR31

Una chiave master dell'emittente (IMK) è una chiave master utilizzata come parte della personalizzazione delle chip card EMV. In genere ce ne saranno 3 IMKs , una ciascuna per le chiavi AC (crittogramma), SMI (chiave master dello script per). integrity/signature), and SMC (script master key for confidentiality/encryption

Una chiave iniziale (IK) è la prima chiave utilizzata nel processo DUKPT e deriva dalla Base Derivation Key (BDK). Nessuna transazione viene elaborata su questa chiave, ma viene utilizzata per derivare chiavi future che verranno utilizzate per le transazioni. Il metodo di derivazione per creare un IK è stato definito in X9. 24-1:2017. Quando viene utilizzato un TDES BDK, X9. 24-1:2009 è lo standard applicabile e IK viene sostituito dalla Initial Pin Encryption Key (IPEK).

Una chiave di crittografia PIN iniziale (IPEK) è la chiave iniziale utilizzata nel processo DUKPT e deriva dalla Base Derivation Key (BDK). Nessuna transazione viene elaborata su questa chiave, ma viene utilizzata per derivare chiavi future che verranno utilizzate per le transazioni. IPEK è un termine improprio in quanto questa chiave può essere utilizzata anche per derivare la crittografia dei dati e le chiavi mac. Il metodo di derivazione per creare un IPEK è stato definito in X9. 24-1:2009. Quando viene utilizzato un BDK AES, X9. 24-1:2017 è lo standard applicabile e IPEK viene sostituito da Initial Key (IK).

Una chiave di lavoro dell'emittente (IWK) è una chiave generalmente utilizzata per lo scambio di dati tra un processore emittente/emittente e una rete (come Visa o Mastercard). Storicamente IWK utilizza 3DES per la crittografia ed è rappresentato come _P0_PIN_ENCRYPTION_KEY. TR31

Una chiave di crittografia (KEK) è una chiave utilizzata per crittografare altre chiavi per la trasmissione o l'archiviazione. Le chiavi destinate a proteggere altre chiavi in genere hanno un valore di KeyUsage TR31_K0_KEY_ENCRYPTION_KEY secondo lo standard. TR-31

Una chiave di crittografia PIN (PEK) è un tipo di chiave di lavoro utilizzata per la crittografia per l'archiviazione o la trasmissione tra PINs due parti. IWK e AWK sono due esempi di usi specifici delle chiavi di crittografia con pin. Queste chiavi sono rappresentate come TR31 _P0_PIN_ENCRYPTION_KEY.

PGK (Pin Generation Key) è un altro nome per una chiave di verifica del PIN. In realtà non viene utilizzato per generare pin (che per impostazione predefinita sono numeri crittograficamente casuali) ma viene invece utilizzato per generare valori di verifica come PVV.

Una chiave di verifica PIN (PVK) è un tipo di chiave funzionante utilizzata per generare valori di verifica del PIN come PVV. I due tipi più comuni sono TR31_V1_ _PIN_VERIFICATION_KEY utilizzato per generare valori di offset e IBM3624 _V2_VISA_PIN_VERIFICATION_KEY utilizzato per i valori di verifica VISA/ABA. IBM3624 TR31 Questa può anche essere nota come Pin Generation Key.

Authorization Request Cryptogram (ARQC) è un crittogramma generato al momento della transazione da una chip card standard EMV (o un'implementazione contactless equivalente). In genere, un ARQC viene generato da una chip card e inoltrato a un emittente o al suo agente per la verifica al momento della transazione.

Il valore di verifica della carta è un valore segreto statico tradizionalmente incorporato su una banda magnetica e utilizzato per convalidare l'autenticità di una transazione. L'algoritmo viene utilizzato anche per altri scopi come iCVV, CAVV,. CVV2 Potrebbe non essere incorporato in questo modo per altri casi d'uso.

Il valore 2 di verifica della carta è un valore segreto statico che veniva tradizionalmente stampato sul fronte (o sul retro) di una carta di pagamento e viene utilizzato per verificare l'autenticità dei pagamenti con carta non presenti (ad esempio al telefono o online). Utilizza lo stesso algoritmo del CVV ma il codice di servizio è impostato su 000.

iCVV è un valore CVV2 simile a -ma incorporato con i dati equivalenti a track2 su una scheda EMV (Chip). Questo valore viene calcolato utilizzando un codice di servizio 999 ed è diverso da CVV1/CVV2 per evitare che le informazioni rubate vengano utilizzate per creare nuove credenziali di pagamento di tipo diverso. Ad esempio, se sono stati ottenuti dati di transazione con chip, non è possibile utilizzare questi dati per generare una banda magnetica (CVV1) o per acquisti online (). CVV2

Utilizza una chiave CVK

Derived Unique Key Per Transaction (DUKPT) è uno standard di gestione delle chiavi tipicamente utilizzato per definire l'uso di chiavi di crittografia monouso su POS/POI fisici. Storicamente, DUKPT utilizza 3DES per la crittografia. Lo standard di settore per DUKPT è definito in ANSI X9.24-3-2017.

EMV (originariamente Europay, Mastercard, Visa) è un organismo tecnico che collabora con le parti interessate ai pagamenti per creare standard e tecnologie di pagamento interoperabili. Un esempio di standard riguarda le carte chip/contactless e i terminali di pagamento con cui interagiscono, inclusa la crittografia utilizzata. La derivazione delle chiavi EMV si riferisce ai metodi di generazione di chiavi univoche per ogni carta di pagamento sulla base di un set iniziale di chiavi come IMK

Un Hardware Security Module (HSM) è un dispositivo fisico che protegge le operazioni crittografiche (ad esempio, crittografia, decrittografia e firme digitali) nonché le chiavi sottostanti utilizzate per tali operazioni.

Key Check Value (KCV) si riferisce a una varietà di metodi di checksum utilizzati principalmente per confrontare le chiavi tra loro senza avere accesso al materiale chiave effettivo. I KCV sono stati utilizzati anche per la convalida dell'integrità (specialmente durante lo scambio di chiavi), sebbene questo ruolo sia ora incluso come parte di formati di blocchi chiave come. TR-31 Per le chiavi TDES, il KCV viene calcolato crittografando 8 byte, ciascuno con valore zero, con la chiave da controllare e conservando i 3 byte di ordine più alto del risultato crittografato. Per le chiavi AES, il KCV viene calcolato utilizzando un algoritmo CMAC in cui i dati di input sono pari a 16 byte pari a zero e conservano i 3 byte di ordine più alto del risultato crittografato.

Un Key Distribution Host (KDH) è un dispositivo o un sistema che invia chiavi in un processo di scambio di chiavi come TR-34. Quando si inviano chiavi da AWS Payment Cryptography, viene considerato KDH.

Un Key Injection Facility (KIF) è una struttura sicura utilizzata per inizializzare i terminali di pagamento, incluso il loro caricamento con chiavi di crittografia.

Un dispositivo di ricezione delle chiavi (KRD) è un dispositivo che riceve chiavi in un processo di scambio di chiavi come TR-34. Quando si inviano chiavi a AWS Payment Cryptography, questa viene considerata KRD.

Un Key Serial Number (KSN) è un valore utilizzato come input per la crittografia/decrittografia DUKPT per creare chiavi di crittografia uniche per transazione. Il KSN è in genere costituito da un identificatore BDK, un ID terminale semiunivoco e un contatore di transazioni che incrementa ogni transizione elaborata su un determinato terminale di pagamento. Per X9.24, per TDES il KSN a 10 byte è in genere composto da 24 bit per l'ID del set di chiavi, 19 bit per l'ID del terminale e 21 bit per il contatore delle transazioni, sebbene il confine tra Key Set ID e ID terminale non abbia alcun impatto sulla funzione della crittografia dei AWS pagamenti. Per AES, il KSN a 12 byte è in genere composto da 32 bit per l'ID BDK, 32 bit per l'identificatore di derivazione (ID) e 32 bit per il contatore delle transazioni.

MPoC (Mobile Point of Sale on Commercial hardware) è uno standard PCI che soddisfa i requisiti di sicurezza per le soluzioni che consentono ai commercianti di accettare pagamenti con carta PINs o senza contatto utilizzando uno smartphone o altri dispositivi mobili commerciali (COTS). off-the-shelf

Un numero di conto primario (PAN) è un identificatore univoco per un conto, ad esempio una carta di credito o di debito. In genere, la lunghezza è di 13-19 cifre. Le prime 6-8 cifre identificano la rete e la banca emittente.

Un blocco di dati contenente un PIN durante l'elaborazione o la trasmissione e altri elementi di dati. I formati dei blocchi PIN standardizzano il contenuto del blocco PIN e il modo in cui può essere elaborato per recuperare il PIN. La maggior parte dei blocchi PIN è composta dal PIN e dalla lunghezza del PIN e spesso contiene parte o tutto il PAN. AWS Payment Cryptography supporta i formati ISO 9564-1 0, 1, 3 e 4. Il formato 4 è richiesto per le chiavi AES. Durante la verifica o la traduzione PINs, è necessario specificare il blocco PIN dei dati in entrata o in uscita.

Point of Interaction (POI), spesso utilizzato anche in forma anonima con Point of Sale (POS), è il dispositivo hardware con cui il titolare della carta interagisce per presentare le proprie credenziali di pagamento. Un esempio di POI è il terminale fisico in una sede commerciale. Per l'elenco dei terminali POI PCI PTS certificati, consulta il sito Web PCI.

Il PAN Sequence Number (PSN) è un valore numerico utilizzato per differenziare più carte emesse con lo stesso PAN.

Quando si utilizzano cifrari asimmetrici (RSA), la chiave pubblica è il componente pubblico di una coppia di chiavi pubblica-privata. La chiave pubblica può essere condivisa e distribuita alle entità che devono crittografare i dati per il proprietario della coppia di chiavi pubblica-privata. Per le operazioni di firma digitale, la chiave pubblica viene utilizzata per verificare la firma.

Quando si utilizzano cifrari asimmetrici (RSA), la chiave privata è il componente privato di una coppia di chiavi pubblica-privata. La chiave privata viene utilizzata per decrittografare i dati o creare firme digitali. Analogamente alle chiavi di crittografia di AWS pagamento simmetriche, le chiavi private vengono create in modo sicuro da. HSMs Vengono decrittografate solo nella memoria volatile dell'HSM e solo per il tempo necessario all'elaborazione della richiesta crittografica.

Un valore di verifica del PIN (PVV) è un tipo di output crittografico che può essere utilizzato per verificare un pin senza memorizzare il pin effettivo. Sebbene sia un termine generico, nel contesto della crittografia dei AWS pagamenti, PVV si riferisce al metodo Visa o ABA PVV. Questo PVV è un numero a quattro cifre i cui input sono il numero della carta, il numero di sequenza pan, il pan stesso e una chiave di verifica del PIN. Durante la fase di convalida, AWS Payment Cryptography ricrea internamente il PVV utilizzando i dati della transazione e lo confronta nuovamente con il valore memorizzato dal cliente Payment Cryptography. AWS In questo modo, è concettualmente simile a un hash crittografico o MAC.

RSA wrap utilizza una chiave asimmetrica per avvolgere una chiave simmetrica (ad esempio una chiave TDES) per la trasmissione a un altro sistema. Solo il sistema con la chiave privata corrispondente può decrittografare il payload e caricare la chiave simmetrica. Al contrario, RSA unwrap decripterà in modo sicuro una chiave crittografata utilizzando RSA e quindi caricherà la chiave nella crittografia di pagamento. AWS RSA wrap è un metodo di scambio di chiavi di basso livello che non trasmette chiavi in formato di blocco di chiavi e non utilizza la firma del payload da parte della parte mittente. È necessario prendere in considerazione controlli alternativi per accertare la provvidenza e che gli attributi chiave non siano mutati.

TR-34 utilizza inoltre RSA internamente, ma è un formato separato e non è interoperabile.

TR-31 (definito formalmente come ANSI X9 TR 31) è un formato di blocco chiave definito dall'American National Standards Institute (ANSI) per supportare la definizione degli attributi chiave nella stessa struttura di dati dei dati chiave stessi. Il formato del blocco chiave TR-31 definisce un insieme di attributi chiave collegati alla chiave in modo che siano tenuti insieme. AWS Payment Cryptography utilizza termini standardizzati TR-31 laddove possibile per garantire la corretta separazione delle chiavi e lo scopo delle chiavi. TR-31 è stato sostituito da ANSI X9.143-2022.

TR-34 è un'implementazione di ANSI X9.24-2 che descrive un protocollo per distribuire in modo sicuro chiavi simmetriche (come 3DES e AES) utilizzando tecniche asimmetriche (come RSA). AWS La crittografia dei pagamenti utilizza i metodi TR-34 per consentire l'importazione e l'esportazione sicure delle chiavi.

X9.143 è un formato di blocco chiave definito dall'American National Standards Institute (ANSI) per supportare la protezione di una chiave e degli attributi chiave nella stessa struttura di dati. Il formato del blocco chiave definisce un insieme di attributi chiave collegati alla chiave in modo che siano tenuti insieme. AWS Payment Cryptography utilizza termini standardizzati X9.143 laddove possibile per garantire la corretta separazione delle chiavi e lo scopo delle chiavi. X9.143 sostituisce la precedente proposta TR-31, sebbene nella maggior parte dei casi sia compatibile con le versioni precedenti e successive e i termini siano spesso usati in modo intercambiabile.