Terminologia di settore

Una chiave di lavoro dell'acquirer (AWK) è una chiave tipicamente utilizzata per lo scambio di dati tra un acquirer/acquirer processore e una rete (come Visa o Mastercard). Storicamente AWK utilizza 3DES per la crittografia e veniva rappresentato come TR31_P0_PIN_ENCRYPTION_KEY.

Una chiave di derivazione di base (BDK) è una chiave di lavoro utilizzata per derivare chiavi successive ed è comunemente usata come parte del processo PCI PIN e PCI P2PE DUKPT. È indicata come TR31_B0_BASE_DERIVATION_KEY.

Una card master key (CMK) è una o più chiavi specifiche per una carta, tipicamente derivate da una chiave master dell'emittente, da PAN e da PSN e sono in genere chiavi 3DES. Queste chiavi vengono memorizzate sul chip EMV durante la personalizzazione. Esempi di CMK includono le chiavi AC, SMI e SMC.

Una chiave di crittografia dell'applicazione (AC) viene utilizzata come parte delle transazioni EMV per generare il crittogramma della transazione ed è un tipo di chiave master della carta.

Una chiave SMI (Secure Messaging Integrity) viene utilizzata come parte di EMV per verificare l'integrità dei payload inviati alla scheda tramite MAC, ad esempio gli script di aggiornamento dei pin. È un tipo di chiave principale della carta.

Una chiave SMC (Secure Messaging Reservatezza) viene utilizzata come parte di EMV per crittografare i dati inviati alla scheda, come gli aggiornamenti dei pin. È un tipo di chiave master della carta.

Una chiave di verifica della carta (CVK) è una chiave utilizzata per generare CVV, CVV2 e valori simili utilizzando un algoritmo definito e per convalidare un input. È indicata come TR31_C0_CARD_VERIFICATION_KEY.

Una chiave master dell'emittente (IMK) è una chiave master utilizzata come parte della personalizzazione delle chip card EMV. In genere ci saranno 3 IMK, uno ciascuno per le chiavi AC (crittogramma), SMI (chiave master dello script per integrity/signature) e SMC (chiave master dello script per). confidentiality/encryption

Una chiave iniziale (IK) è la prima chiave utilizzata nel processo DUKPT e deriva dalla Base Derivation Key (BDK). Nessuna transazione viene elaborata su questa chiave, ma viene utilizzata per derivare chiavi future che verranno utilizzate per le transazioni. Il metodo di derivazione per la creazione di un IK è stato definito in. X9.24-1:2017 Quando viene utilizzato un TDES BDK, è lo standard applicabile e IK X9.24-1:2009 viene sostituito da Initial Pin Encryption Key (IPEK).

Una chiave di crittografia PIN iniziale (IPEK) è la chiave iniziale utilizzata nel processo DUKPT e deriva dalla Base Derivation Key (BDK). Nessuna transazione viene elaborata su questa chiave, ma viene utilizzata per derivare chiavi future che verranno utilizzate per le transazioni. IPEK è un termine improprio in quanto questa chiave può essere utilizzata anche per derivare la crittografia dei dati e le chiavi mac. Il metodo di derivazione per la creazione di un IPEK è stato definito in. X9.24-1:2009 Quando viene utilizzato un AES BDK, X9.24-1:2017 è lo standard applicabile e IPEK viene sostituito da Initial Key (IK).

Una chiave di lavoro dell'emittente (IWK) è una chiave tipicamente utilizzata per lo scambio di dati tra un issuer/issuer processore e una rete (come Visa o Mastercard). Storicamente IWK utilizza 3DES per la crittografia ed è rappresentato come TR31_P0_PIN_ENCRYPTION_KEY.

Una chiave di crittografia a blocchi chiave (KBPK) è un tipo di chiave simmetrica utilizzata per proteggere i blocchi di chiavi e quindi altre chiavi. wrap/encrypt Un KBPK è simile a un KEK ma un KEK protegge direttamente il materiale chiave, mentre in TR-31 schemi simili, il KBPK protegge solo indirettamente la chiave funzionante. Quando viene utilizzata TR-31, TR31_K1_KEY_BLOCK_PROTECTION_KEY è il tipo di chiave corretto, sebbene TR31_K0_KEY_ENCRYPTION_KEY sia supportata in modo intercambiabile per scopi storici.

Una chiave di crittografia (KEK) è una chiave utilizzata per crittografare altre chiavi per la trasmissione o l'archiviazione. Le chiavi destinate a proteggere altre chiavi in genere hanno un valore di KeyUsage TR31_K0_KEY_ENCRYPTION_KEY secondo lo standard. TR-31

Una chiave di crittografia PIN (PEK) è un tipo di chiave di lavoro utilizzata per crittografare i PIN per l'archiviazione o la trasmissione tra due parti. IWK e AWK sono due esempi di usi specifici delle chiavi di crittografia dei pin. Queste chiavi sono rappresentate come TR31_P0_PIN_ENCRYPTION_KEY.

PGK (Pin Generation Key) è un altro nome per una chiave di verifica del PIN. In realtà non viene utilizzato per generare pin (che per impostazione predefinita sono numeri crittograficamente casuali) ma viene invece utilizzato per generare valori di verifica come PVV.

La chiave Primary Region è la fonte di replica autorevole per una determinata chiave di crittografia di pagamento per la quale è stata abilitata la replica. PRK è un riferimento a un ruolo chiave di Payment Cryptography di origine in una configurazione di replica delle chiavi. Multi-Region Quando la replica è abilitata su una chiave di crittografia dei pagamenti, viene chiamata PRK per quella specifica configurazione di replica delle chiavi.

Una chiave di verifica PIN (PVK) è un tipo di chiave funzionante utilizzata per generare valori di verifica del PIN come PVV. I due tipi più comuni sono TR31_V1_IBM3624_PIN_VERIFICATION_KEY utilizzato per generare valori di offset IBM3624 e TR31_V2_VISA_PIN_VERIFICATION_KEY utilizzato per i valori di verifica. Visa/ABA Questa può anche essere nota come Pin Generation Key.

Le Replica Region Key sono il materiale chiave e i metadati replicati copiati in modo sicuro dal PRK a una replica configurata. Regione AWS Un RRK è una replica in sola lettura di una chiave di crittografia dei pagamenti. RRK è un riferimento per il ruolo svolto da una chiave specifica in una Multi-Region configurazione di replica delle chiavi. Qualsiasi modifica chiave dei metadati, incluse le impostazioni di replica, deve essere applicata al PRK.

Authorization Request Cryptogram (ARQC) è un crittogramma generato al momento della transazione da una chip card standard EMV (o un'implementazione contactless equivalente). In genere, un ARQC viene generato da una chip card e inoltrato a un emittente o al suo agente per la verifica al momento della transazione.

Il valore di verifica della carta è un valore segreto statico tradizionalmente incorporato su una banda magnetica e utilizzato per convalidare l'autenticità di una transazione. L'algoritmo viene utilizzato anche per altri scopi come iCVV, CAVV, CVV2. Potrebbe non essere incorporato in questo modo per altri casi d'uso.

Il valore 2 di verifica della carta è un valore segreto statico che veniva tradizionalmente stampato sul fronte (o sul retro) di una carta di pagamento e viene utilizzato per verificare l'autenticità per i pagamenti non presenti sulla carta (ad esempio al telefono o online). Utilizza lo stesso algoritmo del CVV ma il codice di servizio è impostato su 000.

iCVV è un CVV2-like valore ma è incorporato nei dati equivalenti a track2 su una scheda EMV (Chip). Questo valore viene calcolato utilizzando un codice di servizio 999 ed è diverso da quello utilizzato CVV1/CVV2 per evitare che le informazioni rubate vengano utilizzate per creare nuove credenziali di pagamento di tipo diverso. Ad esempio, se sono stati ottenuti dati di transazione con chip, non è possibile utilizzare questi dati per generare una banda magnetica (CVV1) o per acquisti online (CVV2).

Utilizza una chiave CVK

Derived Unique Key Per Transaction (DUKPT) è uno standard di gestione delle chiavi tipicamente utilizzato per definire l'uso di chiavi di crittografia monouso su dispositivi fisici. POS/POI Storicamente, DUKPT utilizza 3DES per la crittografia. Lo standard di settore per DUKPT è definito in ANSI. X9.24-3-2017

ECC (Elliptic Curve Cryptography) è un sistema di crittografia a chiave pubblica che utilizza la matematica delle curve ellittiche per creare chiavi di crittografia. ECC offre lo stesso livello di sicurezza dei metodi tradizionali come RSA ma con chiavi di lunghezza molto inferiore, garantendo una sicurezza equivalente in modo più efficiente. Ciò è particolarmente importante nei casi d'uso in cui RSA non è una soluzione pratica (lunghezza della chiave RSA > 4096 bit). AWS La crittografia dei pagamenti supporta le curve definite dal NIST per l'uso nelle operazioni ECDH.

L'ECDH (Elliptic Curve Diffie-Hellman) è un protocollo di accordo chiave che consente a due parti di stabilire un segreto condiviso (come un KEK o un PEK). Nell'ECDH, le Parti A e B dispongono ciascuna delle proprie coppie di chiavi pubbliche-private e si scambiano chiavi pubbliche (sotto forma di certificati per la crittografia dei AWS pagamenti) nonché metadati di derivazione delle chiavi (metodo di derivazione, tipo di hash e informazioni condivise). Entrambe le parti moltiplicano la propria chiave privata per la chiave pubblica dell'altra e, grazie alle proprietà della curva ellittica, entrambe le parti sono in grado di derivare (generare) la chiave risultante.

EMV (originariamente Europay, Mastercard, Visa) è un organismo tecnico che collabora con le parti interessate ai pagamenti per creare standard e tecnologie di pagamento interoperabili. Un esempio di standard riguarda chip/contactless le carte e i terminali di pagamento con cui interagiscono, inclusa la crittografia utilizzata. La derivazione delle chiavi EMV si riferisce ai metodi di generazione di chiavi uniche per ciascuna carta di pagamento sulla base di un set iniziale di chiavi come IMK

Un Hardware Security Module (HSM) è un dispositivo fisico che protegge le operazioni crittografiche (ad esempio, crittografia, decrittografia e firme digitali) nonché le chiavi sottostanti utilizzate per tali operazioni.

Un Key Custodian As A Service (KCAAS) fornisce una varietà di servizi relativi alla gestione delle chiavi. Per quanto riguarda le chiavi di pagamento, in genere possono convertire i componenti chiave cartacei in moduli elettronici supportati dalla crittografia dei AWS pagamenti o convertire le chiavi protette elettronicamente in componenti cartacei che potrebbero essere richiesti da determinati fornitori. Possono inoltre fornire servizi di deposito a garanzia di chiavi la cui perdita comprometterebbe le operazioni in corso. I fornitori KCAAS sono in grado di aiutare i clienti a scaricare l'onere operativo della gestione del materiale chiave al di fuori di un servizio sicuro come AWS Payment Cryptography in modo conforme agli standard PCI DSS, PCI PIN e PCI P2PE. AWS Payment Cryptography offre Scambio di chiavi fisiche una funzionalità KCAAS integrata per convertire i componenti chiave cartacei in formato elettronico.

Key Check Value (KCV) si riferisce a una varietà di metodi di checksum utilizzati principalmente per confrontare le chiavi tra loro senza avere accesso al materiale chiave effettivo. I KCV sono stati utilizzati anche per la convalida dell'integrità (specialmente durante lo scambio di chiavi), sebbene questo ruolo sia ora incluso come parte di formati di blocchi chiave come. TR-31 Per le chiavi TDES, il KCV viene calcolato crittografando 8 byte, ciascuno con valore zero, con la chiave da controllare e conservando i 3 byte di ordine più alto del risultato crittografato. Per le chiavi AES, il KCV viene calcolato utilizzando un algoritmo CMAC in cui i dati di input sono pari a 16 byte pari a zero e conservano i 3 byte di ordine più alto del risultato crittografato.

Un Key Distribution Host (KDH) è un dispositivo o un sistema che invia chiavi in un processo di scambio di chiavi come. TR-34 Quando si inviano chiavi da AWS Payment Cryptography, viene considerato KDH.

Un Key Injection Facility (KIF) è una struttura sicura utilizzata per inizializzare i terminali di pagamento, incluso il loro caricamento con chiavi di crittografia.

Un dispositivo di ricezione delle chiavi (KRD) è un dispositivo che riceve chiavi in un processo di scambio di chiavi come. TR-34 Quando si inviano chiavi a AWS Payment Cryptography, questa viene considerata KRD.

Un Key Serial Number (KSN) è un valore utilizzato come input per DUKPT per creare chiavi di crittografia encryption/decryption univoche per transazione. Il KSN è in genere costituito da un identificatore BDK, un ID terminale semi-univoco e un contatore di transazioni che incrementa ogni transizione elaborata su un determinato terminale di pagamento. Per TDES X9.24, il KSN a 10 byte è in genere composto da 24 bit per l'ID del set di chiavi, 19 bit per l'ID del terminale e 21 bit per il contatore delle transazioni, sebbene il confine tra Key Set ID e ID terminale non abbia alcun impatto sulla funzione della crittografia dei AWS pagamenti. Per AES, il KSN a 12 byte è in genere composto da 32 bit per l'ID BDK, 32 bit per l'identificatore di derivazione (ID) e 32 bit per il contatore delle transazioni.

mPOC (Mobile Point of Sale on Commercial hardware) è uno standard PCI che soddisfa i requisiti di sicurezza per le soluzioni che consentono ai commercianti di accettare PIN dei titolari di carta o pagamenti senza contatto utilizzando uno smartphone o altri dispositivi mobili commerciali pronti all'uso (COTS).

Un numero di conto primario (PAN) è un identificatore univoco per un account come una carta di credito o di debito. In genere, la lunghezza è di 13-19 cifre. Le prime 6-8 cifre identificano la rete e la banca emittente.

Un blocco di dati contenente un PIN durante l'elaborazione o la trasmissione e altri elementi di dati. I formati dei blocchi PIN standardizzano il contenuto del blocco PIN e il modo in cui può essere elaborato per recuperare il PIN. La maggior parte dei blocchi PIN è composta dal PIN e dalla lunghezza del PIN e spesso contiene parte o tutto il PAN. AWS Payment Cryptography supporta i formati ISO 9564-1 0, 1, 3 e 4. Il formato 4 è richiesto per le chiavi AES. Durante la verifica o la traduzione dei PIN, è necessario specificare il blocco PIN dei dati in entrata o in uscita.

Point of Interaction (POI), spesso utilizzato anche in forma anonima con Point of Sale (POS), è il dispositivo hardware con cui il titolare della carta interagisce per presentare le proprie credenziali di pagamento. Un esempio di POI è il terminale fisico in una sede commerciale. Per l'elenco dei terminali POI PCI PTS certificati, consulta il sito Web PCI.

Il PAN Sequence Number (PSN) è un valore numerico utilizzato per differenziare più carte emesse con lo stesso PAN.

Quando si utilizzano cifrari asimmetrici (RSA, ECC), la chiave pubblica è il componente pubblico di una coppia di chiavi pubblica-privata. La chiave pubblica può essere condivisa e distribuita alle entità che devono crittografare i dati per il proprietario della coppia di chiavi pubblica-privata. Per le operazioni di firma digitale, la chiave pubblica viene utilizzata per verificare la firma.

Quando si utilizzano cifrari asimmetrici (RSA, ECC), la chiave privata è il componente privato di una coppia di chiavi pubblica-privata. La chiave privata viene utilizzata per decrittografare i dati o creare firme digitali. Analogamente alle chiavi simmetriche di crittografia dei AWS pagamenti, le chiavi private vengono create in modo sicuro dagli HSM. Vengono decrittografate solo nella memoria volatile dell'HSM e solo per il tempo necessario all'elaborazione della richiesta crittografica.

Un valore di verifica del PIN (PVV) è un tipo di output crittografico che può essere utilizzato per verificare un pin senza memorizzare il pin effettivo. Sebbene sia un termine generico, nel contesto della crittografia dei AWS pagamenti, PVV si riferisce al metodo Visa o ABA PVV. Questo PVV è un numero a quattro cifre i cui input sono il numero della carta, il numero di sequenza pan, il pan stesso e una chiave di verifica del PIN. Durante la fase di convalida, AWS Payment Cryptography ricrea internamente il PVV utilizzando i dati della transazione e lo confronta nuovamente con il valore memorizzato dal cliente Payment Cryptography. AWS In questo modo, è concettualmente simile a un hash crittografico o MAC.

RSA wrap utilizza una chiave asimmetrica per avvolgere una chiave simmetrica (ad esempio una chiave TDES) per la trasmissione a un altro sistema. Solo il sistema con la chiave privata corrispondente può decrittografare il payload e caricare la chiave simmetrica. Al contrario, RSA unwrap decripterà in modo sicuro una chiave crittografata utilizzando RSA e quindi caricherà la chiave nella crittografia di pagamento. AWS RSA wrap è un metodo di scambio di chiavi di basso livello che non trasmette chiavi in formato di blocco di chiavi e non utilizza la firma del payload da parte della parte mittente. È necessario prendere in considerazione controlli alternativi per accertare la provvidenza e che gli attributi chiave non siano mutati.

TR-34 utilizza anche RSA internamente, ma è un formato separato e non è interoperabile.

TR-31 (definito formalmente come ANSI X9 TR 31) è un formato di blocco chiave definito dall'American National Standards Institute (ANSI) per supportare la definizione degli attributi chiave nella stessa struttura di dati dei dati chiave stessi. Il formato del blocco TR-31 chiave definisce un insieme di attributi chiave collegati alla chiave in modo che siano tenuti insieme. AWS La crittografia dei pagamenti utilizza termini TR-31 standardizzati laddove possibile per garantire la corretta separazione delle chiavi e lo scopo delle chiavi. TR-31 è stata sostituita dall'ANSI. X9.143-2022

TR-34 è un'implementazione di ANSI X9.24-2 che descriveva un protocollo per distribuire in modo sicuro chiavi simmetriche (come 3DES e AES) utilizzando tecniche asimmetriche (come RSA). AWS La crittografia dei pagamenti utilizza TR-34 metodi per consentire l'importazione e l'esportazione sicure delle chiavi.

X9.143 è un formato di blocco chiave definito dall'American National Standards Institute (ANSI) per supportare la protezione di una chiave e degli attributi chiave nella stessa struttura di dati. Il formato del blocco chiave definisce un insieme di attributi chiave collegati alla chiave in modo che siano tenuti insieme. AWS La crittografia dei pagamenti utilizza termini X9.143 standardizzati laddove possibile per garantire la corretta separazione delle chiavi e lo scopo delle chiavi. X9.143 sostituisce la TR-31proposta precedente, sebbene nella maggior parte dei casi siano compatibili con le versioni precedenti e future e i termini siano spesso usati in modo intercambiabile.