業界用語

アクワイアラーワーキングキー (AWK) は、アクワイアラー/アクワイアラープロセッサとネットワーク (VisaやMastercardなど) 間のデータ交換に通常使用されるキーです。歴史上、AWK は暗号化に 3DES を利用しており、これは「TR31_P0_PIN_ENCRYPTION_KEY」と表示されます。

基本派生キー (BDK) は、後続のキーを導出するために使用されるワーキングキーで、一般的に PCI PIN や PCI P2PE DUKPT プロセスの一部として使用されます。これは TR31_B0_BASE_DERIVATION_KEY と表記されます。

カードマスターキー (CMK) は、通常、発行者マスターキー、PAN、PSN から派生した 1 つ以上のカード固有のキーで、通常は 3DES キーです。これらのキーは、カスタマイズ時に EMV チップに保存されます。CMK の例としては、AC キー、SMI キー、SMC キーなどがあります。

アプリケーション暗号文 (AC) キーは、EMV トランザクションの一部としてトランザクションクリプトグラムを生成するために使用され、カードマスターキーの一種です。

EMV の一部として、PIN 更新スクリプトなどの MAC を使用してカードに送信されるペイロードの整合性を検証するために、セキュアメッセージングインテグリティ (SMI) キーが使用されます。これはカードマスターキーの一種です。

EMV の一部として、暗証番号の更新など、カードに送信されるデータを暗号化するためにセキュアメッセージング機密保持 (SMC) キーが使用されます。これはカードマスターキーの一種です。

カード検証キー (CVK) は、定義されたアルゴリズムを使用して CVV や CVV2 などの値を生成したり、入力を検証したりするために使用されるキーです。これは TR31_C0_CARD_VERIFICATION_KEY と表記されます。

発行者マスターキー (IMK) は EMV チップカードのパーソナライゼーションの一部として使用されるマスターキーです。通常、AC (暗号文)、SMI (完全性/署名用のスクリプトマスターキー)、および SMC (機密性/暗号化用のスクリプトマスターキー) の各キーに 1 つずつ、計 3 種類の IMK があります。

初期キー (IK) は DUKPT プロセスで使用される最初のキーであり、基本導出キー (BDK) から取得されます。このキーではトランザクションは処理されませんが、トランザクションに使用される将来のキーを導出するために使用されます。IK を作成するための取得方法は、X9.24-1:2017 で定義されています。TDES BDK を使用する場合、X9.24-1:2009 が適用可能な標準であり、IK は Initial Pin Encryption Key (IPEK) に置き換えられます。

初期 PIN 暗号化キー (IPEK) は DUKPT プロセスで使用される初期キーで、ベース派生キー (BDK) から生成されます。このキーではトランザクションは処理されませんが、トランザクションに使用される将来のキーを導出するために使用されます。IPEK はデータ暗号化や mac キーの導出にも使用できるため、誤解があります。IPEK を作成するための取得方法は、X9.24-1:2009 で定義されています。AES BDK を使用する場合、X9.24-1:2017 が適用可能な標準であり、IPEK は初期キー (IK) に置き換えられます。

発行者ワーキングキー (IWK) は、発行者/発行者の処理者とネットワーク (Visa や Mastercard など) との間でデータを交換するために通常使用されるキーです。歴史上、IWK は暗号化に 3DES を利用しており、TR31_P0_PIN_ENCRYPTION_KEY と表示されます。

キー暗号化キー (KEK) は、送信時または保存時に他のキーを暗号化するために使用されるキーです。他のキーを保護するキーには通常、 KeyUsageTR-31標準に従って TR31_K0_KEY_ENCRYPTION_KEY の があります。

PIN 暗号化キー (PEK) は、2 者間での保存または送信を目的として PIN を暗号化するために使用される作業キーの一種です。IWK と AWK は PIN 暗号化キーの具体的な用途の 2 つの例です。これらのキーは TR31_P0_PIN_ENCRYPTION_KEY と表示されます。

PGK (ピン生成キー) は、ピン検証キー の別の名前です。実際にはピンの生成には使用されず (デフォルトでは暗号的に乱数）、代わりに PVV などの検証値の生成に使用されます。

PIN 検証キー (PVK) は PVV などの PIN 検証値を生成するために使用されるワーキングキーの一種です。IBM3624 オフセット値の生成に使用される TR31_V1_IBM3624_PIN_VERIFICATION_KEY と、VISA/ABA 検証値の生成に使用される TR31_V2_VISA_PIN_VERIFICATION_KEY が最も一般的な 2 つの種類です。これは、ピン生成キー とも呼ばれます。

オーソライゼーションリクエスト暗号文 (ARQC) は、EMV 標準チップカード (または同等の非接触型実装) によってトランザクション時に生成される暗号です。通常、ARQC はチップカードによって生成され、発行者またはその代理人に転送されて取引時に検証されます。

カード検証値は、従来マグネティックストライプに埋め込まれ、トランザクションの信頼性を検証するために使用される静的シークレット値です。このアルゴリズムは、iCVV、CAVV、CVV2 などの他の目的にも使用されます。この方法では、他のユースケースには埋め込まれない場合があります。

カード検証値 2 は、従来は支払いカードの前面 (または背面) に印刷され、カードを提示しない支払い (電話やオンラインなど) の信頼性を検証するために使用される静的シークレット値です。CVV と同じアルゴリズムを使用しますが、サービスコードは 000 に設定されています。

iCVV は CVV2-like値ですが、EMV(チップ) カードに track2 に相当するデータが埋め込まれています。この値は 999 のサービスコードを使用して計算され、CVV1/CVV2 とは異なり、盗まれた情報が別のタイプの新しい支払い認証情報の作成に使用されるのを防ぎます。例えば、チップトランザクションデータを取得した場合、このデータを使用して磁気ストライプ (CVV1) を生成したり、オンライン購入 (CVV2) を行ったりすることはできません。

CVK キーを使用する

トランザクションごとの派生一意キー (DUKPT) は、物理的な POS/POI で一度だけ使用できる暗号キーの使用を定義するために一般的に使用されるキー管理標準です。歴史上、DUKPT は暗号化に 3DES を利用しています。DUKPT の業界標準は ANSI X9.24-3-2017 で定義されています。

EMV (当初はユーロペイ、Mastercard、Visa) は、支払いの利害関係者と協力して相互運用可能な支払い基準とテクノロジーを作成する技術団体です。標準例の 1 つは、チップ/コンタクトレスカードと、使用する暗号化など、それらが操作する支払いターミナルです。EMV キー取得とは、 などのキーの初期セットに基づいて各支払いカードに一意のキーを生成する方法 (複数可) を指します。 IMK

ハードウェアセキュリティモジュール (HSM) は、暗号化オペレーション (暗号化、復号化、デジタル署名など) と、これらのオペレーションに使用される基盤となるキーを保護する物理デバイスです。

キーチェックバリュー (KCV) とは、実際のキーデータにアクセスせずにキー同士を比較するために主に使用されるさまざまなチェックサムメソッドを指します。KCV は整合性の検証 (特にキーの交換時) にも使用されてきましたが、現在ではこの役割は TR-31 などのキーブロック形式の一部として組み込まれています。TDES キーの場合、KCV は 8 バイト (各バイトの値が 0) を暗号化してキーをチェックし、暗号化された結果の上位 3 バイトを保持することで計算されます。AES キーの場合、KCV は CMAC アルゴリズムを使用して計算されます。このアルゴリズムでは、入力データは 16バイトで、暗号化された結果の上位 3 バイトは保持されます。

キー分散ホスト (KDH) は TR-34 などのキー交換プロセスでキーを送信するデバイスまたはシステムです。 AWS Payment Cryptography からキーを送信する場合、KDH と見なされます。

キーインジェクションファシリティ (KIF) は、決済ターミナルの初期化 (暗号化キーのロードなど) に使用される安全な機能です。

キー受信デバイス (KRD) は TR-34 などのキー交換プロセスでキーを受信するデバイスです。 AWS Payment Cryptography にキーを送信する場合、KRD と見なされます。

キーシリアル番号 (KSN) は、DUKPT 暗号化/復号化の入力として使用される値で、トランザクションごとに一意の暗号化キーを作成します。KSN は通常、BDK 識別子、半一意のターミナル ID、および特定の決済ターミナルで処理されるたびに増加するトランザクションカウンターで構成されます。

MPoC (商用ハードウェアの Mobile Point of Sales) は、マーチャントがスマートフォンやその他の商用 off-the-shelf (COTS) モバイルデバイスを使用してカード所有者 PINsまたは非接触支払いを受け入れることができるソリューションのセキュリティ要件に対応する PCI 標準です。

プライマリアカウント番号 (PAN) は、クレジットカードやデビットカードなどの口座固有の識別子です。通常、長さは 13 ～ 19 桁です。最初の 6 ～ 8 桁はネットワークと発行銀行を識別します。

処理中または送信中の PIN とその他のデータ要素を含むデータブロック。PIN ブロック形式は PIN ブロックの内容と、PIN を取得するための処理方法を標準化します。ほとんどの PIN ブロックは PIN、PIN の長さで構成され、PAN の一部またはすべてが頻繁に含まれます。 AWS Payment Cryptography は ISO 9564-1 形式 0、1、3、4 をサポートしています。AES キーにはフォーマット 4 が必要です。PIN を検証または変換する場合、受信データまたは送信データの PIN ブロックを指定する必要があります。

ポイントオブインタラクション (POI) は、POS (販売時点管理) と同義語としてもよく使われるハードウェアデバイスで、カード所有者が支払い認証情報を提示する際に使用するハードウェアデバイスです。POI の例としては、マーチャントロケーションの物理ターミナルがあります。認定済み PCI PTS POI ターミナルのリストについては、PCI ウェブサイトを参照してください。

PAN シーケンス番号 (PSN) は、同じ PAN で発行された複数のカードを区別するために使用される数値です。

非対称暗号 (RSA) を使用する場合、パブリックキーはパブリック/プライベートのキーペアのパブリックコンポーネントです。パブリックキーは、パブリック/プライベートのキーペアの所有者のデータを暗号化するエンティティに共有および分散できます。デジタル署名オペレーションでは、パブリックキーを使用して署名を検証できます。

非対称暗号 (RSA) を使用する場合、プライベートキーはパブリック/プライベートのキーペアのプライベートコンポーネントです。プライベートキーは、データの復号またはデジタル署名の作成に使用されます。対称 AWS Payment Cryptography キーと同様に、プライベートキーは HSMsによって安全に作成されます。これらは、暗号化リクエストの処理に必要な期間、HSM の揮発性メモリにのみ復号化されます。

PIN 検証値 (PVV) は、実際の PIN を保存せずに PIN を検証するために使用できる暗号化出力の一種です。Payment Cryptography では、PVV AWS は Visa または ABA PVV メソッドを指します。この PVV は 4 桁の数字で、入力はカード番号、パンシーケンス番号、パン自体、PIN 検証キーです。検証段階では、 AWS Payment Cryptography はトランザクションデータを使用して内部で PVV を再作成し、 AWS Payment Cryptography のお客様が保存した値を再度比較します。このようにして、概念的には暗号化ハッシュまたは MAC に似ています。

RSA ラップは非対称キーを使用して、別のシステムに送信するための対称キー (TDES キーなど) をラップします。一致するプライベートキーを持つシステムのみがペイロードを復号し、対称キーをロードできます。逆に、RSA アンラップは、RSA を使用して暗号化されたキーを安全に復号し、そのキーを AWS Payment Cryptography にロードします。RSA ラップは、キー交換の低レベルの方法であり、キーブロック形式でキーを送信せず、送信側によるペイロード署名も使用しません。代替コントロールを検討して、提供量とキー属性が変更されていないことを確認する必要があります。

TR-34 は内部的にも RSA を利用しますが、別の形式であり、相互運用できません。

TR-31 (正式には ANSI X9 TR 31 と定義されます) は、米国規格協会 (ANSI) によって定義されているキーブロック形式で、キーデータ自体と同じデータ構造でのキー属性の定義をサポートします。TR-31 キーブロック形式は、キーに関連付けられた一連のキー属性を定義し、それらをまとめて保持します。 AWS Payment Cryptography は、可能な限り TR-31 標準化用語を使用して、キーの適切な分離とキーの目的を確保します。TR-31 は ANSI X9.143-2022 に取って代わられました。

TR-34 は ANSI X9.24-2 の実装であり、非対称手法 (RSA など) を使用して対称キー (3DES や AES など) を安全に配布するプロトコルについて説明しています。 AWS Payment Cryptography は TR-34 メソッドを使用して、キーの安全なインポートとエクスポートを許可します。