Terminologia do setor

Uma chave de trabalho do adquirente (AWK) é uma chave normalmente usada para trocar dados entre um processador adquirente/adquirente e uma rede (como Visa ou Mastercard). Historicamente, a AWK utiliza 3DES para criptografia e seria representada como TR31_P0_PIN_ENCRYPTION_KEY.

Uma chave de derivação de base (BDK) é uma chave de trabalho usada para derivar chaves subsequentes e é comumente usada como parte do processo PCI PIN e PCI P2PE DUKPT. É indicada como TR31_B0_BASE_DERIVATION_KEY.

Uma chave mestra do cartão (CMK) corresponde a uma ou mais chaves específicas do cartão, normalmente derivadas de uma chave mestra do emissor, PAN e PSN e geralmente são chaves 3DES. Essas chaves são armazenadas no chip EMV durante a personalização. Exemplos de CMKs incluem chaves AC, SMI e SMC.

Uma chave de criptograma de aplicativo (AC) é usada como parte das transações EMV para gerar o criptograma da transação e é um tipo de chave mestra do cartão.

Uma chave de integridade segura de mensagens (SIM) é usada como parte do EMV para verificar a integridade das cargas enviadas ao cartão usando MAC, como scripts de atualização de PIN. É um tipo de chave mestra de cartão.

Uma chave de confidencialidade segura de mensagens (SMC) é usada como parte do EMV para criptografar dados enviados ao cartão, como atualizações de PIN. É um tipo de chave mestra de cartão.

Uma chave de verificação de cartão (CVK) é uma chave usada para gerar CVV, CVV2 e valores similares usando um algoritmo definido, além de validar uma entrada. É indicada como TR31_C0_CARD_VERIFICATION_KEY.

iCVV é um valor semelhante ao CVV2, mas incorporado aos dados equivalentes do track2 em um cartão EMV (Chip). Esse valor é calculado usando um código de serviço de 999 e é diferente do CVV1/CVV2 para evitar que informações roubadas sejam usadas para criar novas credenciais de pagamento de um tipo diferente. Por exemplo, se os dados da transação do chip foram obtidos, não é possível usar esses dados para gerar uma tarja magnética (CVV1) ou para compras on-line (CVV2).

Ele usa uma CVK chave

Uma chave mestra do emissor (IMK) é uma chave mestra usada como parte da personalização do cartão com chip EMV. Normalmente, haverá três IMKs, uma para cada chave AC (criptograma), SMI (chave mestra de script para integridade/assinatura) e SMC (chave mestra de script para confidencialidade/criptografia).

Uma chave inicial (IK) é a primeira chave usada no processo DUKPT e deriva da Chave de Derivação Base (BDK). Nenhuma transação é processada nessa chave, mas ela é usada para derivar chaves futuras que serão usadas para transações. O método de derivação para criar um IK foi definido em X9. 24-1:2017. Quando um TDES BDK é usado, o X9. 24-1:2009 é o padrão aplicável e o IK é substituído pela Chave de Criptografia de Pino Inicial (IPEK).

Uma chave de criptografia PIN inicial (IPEK) é a chave inicial usada no processo de DUKPT e deriva da chave de derivação base (BDK). Nenhuma transação é processada nessa chave, mas ela é usada para derivar chaves futuras que serão usadas para transações. IPEK é um nome impróprio, pois essa chave também pode ser usada para derivar criptografia de dados e chaves mac. O método de derivação para criar um IPEK foi definido em X9. 24-1:2009. Quando um AES BDK é usado, o X9. 24-1:2017 é o padrão aplicável e o IPEK é substituído pela Chave Inicial (IK).

Uma chave de trabalho do emissor (IWK) é uma chave normalmente usada para trocar dados entre um emissor/processador emissor e uma rede (como Visa ou Mastercard). Historicamente, a IWK utiliza o 3DES para criptografia e é representada como TR31_P0_PIN_ENCRYPTION_KEY.

Uma chave de criptografia de chave (KEK) é uma chave usada para criptografar outras chaves para transmissão ou armazenamento. As chaves destinadas a proteger outras chaves geralmente têm um KeyUsage TR31_K0_KEY_ENCRYPTION_KEY de acordo com o padrão. TR-31

Uma chave de criptografia de PIN (PEK) é um tipo de chave de trabalho usada para criptografar PINs para armazenamento ou transmissão entre duas partes. IWK e AWK são dois exemplos de usos específicos de chaves de criptografia de PINs. Essas chaves são representadas como TR31_P0_PIN_ENCRYPTION_KEY.

Uma chave de verificação de PIN (PVK) é um tipo de chave de trabalho usada para gerar valores de verificação de PIN, como PVV. Os dois tipos mais comuns são TR31_V1_IBM3624_PIN_VERIFICATION_KEY, usada para gerar valores de deslocamento IBM3624 e TR31_V2_VISA_PIN_VERIFICATION_KEY, usada para valores de verificação Visa/ABA.

O criptograma de solicitação de autorização (ARQC) é um criptograma gerado por um cartão com chip padrão EMV (ou implementação sem contato equivalente) no momento da transação. Normalmente, um ARQC é gerado por um cartão com chip e encaminhado a um emissor ou seu agente para verificação no momento da transação.

A chave única derivada por transação (DUKPT) é um padrão de gerenciamento de chaves normalmente usado para definir o uso de chaves de criptografia de uso único em POS/POI físico. Historicamente, a DUKPT utiliza 3DES para criptografia. O padrão do setor para DUKPT é definido na ANSI X9.24-3-2017.

A EMV (originalmente Europay, Mastercard, Visa) é um órgão técnico que trabalha com as partes interessadas em pagamentos para criar padrões e tecnologias de pagamento interoperáveis. Um exemplo de padrão é para cartões com chip/sem contato e os terminais de pagamento com os quais eles interagem, incluindo a criptografia usada. A derivação de chave EMV se refere ao (s) método (s) de geração de chaves exclusivas para cada cartão de pagamento com base em um conjunto inicial de chaves, como um IMK

Um módulo de segurança de hardware (HSM) é um dispositivo físico que protege as operações criptográficas (por exemplo, criptografia, decodificação e assinaturas digitais), bem como as chaves subjacentes usadas para essas operações.

O valor de verificação de chave (KCV) se refere a uma variedade de métodos de soma de verificação usados principalmente para comparar as chaves entre si sem ter acesso ao material real da chave. O KCV também tem sido usado para validação de integridade (especialmente ao trocar chaves), embora essa função agora esteja incluída como parte de formatos de blocos de chaves, como TR-31. Para chaves TDES, o KCV é calculado criptografando 8 bytes, cada um com valor zero, com a chave a ser verificada e retendo os 3 bytes de ordem mais alta do resultado criptografado. Para chaves AES, o KCV é calculado usando um algoritmo CMAC em que os dados de entrada são 16 bytes de zero e retêm os 3 bytes de ordem mais alta do resultado criptografado.

Um host de distribuição de chaves (KDH) é um dispositivo ou sistema que está enviando chaves em um processo de troca de chaves, como o TR-34. Ao enviar chaves da criptografia de AWS pagamento, ela é considerada o KDH.

Uma instalação de injeção de chave (KIF) é um recurso seguro usado para inicializar terminais de pagamento, incluindo carregá-los com chaves de criptografia.

Um dispositivo de recebimento de chaves (KRD) é um dispositivo que está recebendo chaves em um processo de troca de chaves, como o TR-34. Ao enviar chaves para criptografia AWS de pagamento, ela é considerada o KRD.

Um número de série de chave (KSN) é um valor usado como entrada para criptografia/descriptografia DUKPT para criar chaves de criptografia exclusivas por transação. Normalmente, o KSN consiste em um identificador BDK, um ID de terminal semi-exclusivo e um contador de transações, que é incrementado em cada transição processada em um determinado terminal de pagamento.

Um número primário de conta (PAN) é um identificador exclusivo para uma conta, como um cartão de crédito ou débito. Normalmente, tem de 13 a 19 dígitos de comprimento. Os primeiros 6 a 8 dígitos identificam a rede e o banco emissor.

Um bloco de dados contendo um PIN durante o processamento ou transmissão, bem como outros elementos de dados. Os formatos de bloco de PIN padronizam o conteúdo do bloco de PIN e como ele pode ser processado para recuperar o PIN. A maioria dos blocos de PIN é composta pelo PIN, pelo comprimento do PIN e frequentemente contém parte ou a totalidade do PAN. AWS A criptografia de pagamento suporta os formatos ISO 9564-1 0, 1, 3 e 4. O Formato 4 é necessário para chaves AES. Ao verificar ou traduzir PINs, é necessário especificar o bloco de PIN dos dados de entrada ou saída.

O ponto de interação (POI), também usado frequentemente como sinônimo de ponto de venda (POS), é o dispositivo de hardware com o qual o titular do cartão interage para apresentar sua credencial de pagamento. Um exemplo de POI é o terminal físico em um estabelecimento comercial. Para obter a lista de terminais PCI PTS POI certificados, consulte o site da PCI.

O número de sequência PAN (PSN) é um valor numérico usado para diferenciar vários cartões emitidos com o mesmo PAN.

Ao usar cifras assimétricas (RSA), a chave pública é o componente público de um par de chaves público-privadas. A chave pública pode ser compartilhada e distribuída para entidades que precisam criptografar dados para o proprietário do par de chaves público-privadas. Para operações de assinatura digital, a chave pública é usada para verificar a assinatura.

Ao usar cifras assimétricas (RSA), a chave privada é o componente privado de um par de chaves público-privadas. A chave privada é usada para descriptografar dados ou criar assinaturas digitais. Semelhante às chaves simétricas AWS de criptografia de pagamento, as chaves privadas são criadas com segurança pelos HSMs. Elas são descriptografadas somente na memória volátil do HSM e somente pelo tempo necessário para processar sua solicitação criptográfica.

O valor de verificação do PIN (PVV) é um valor derivado algoritmicamente de uma série de entradas, como número do cartão e PIN, que gera um valor que pode ser usado para validação posterior. Um desses esquemas é conhecido como Visa PVV (também conhecido como método ABA), embora seja usado para PINs em qualquer rede.

O RSA wrap usa uma chave assimétrica para encapsular uma chave simétrica (como uma chave TDES) para transmissão para outro sistema. Somente o sistema com a chave privada correspondente pode descriptografar a carga e carregar a chave simétrica. Por outro lado, o RSA unwrap decodificará com segurança uma chave criptografada usando RSA e, em seguida, carregará a chave na Criptografia de Pagamento. AWS O RSA wrap é um método de troca de chaves de baixo nível e não transmite chaves no formato de bloco de chaves e não utiliza a assinatura de carga útil pela parte remetente. Controles alternativos devem ser considerados para verificar se a providência e os principais atributos não estão alterados.

O TR-34 também utiliza RSA internamente, mas é um formato separado e não é interoperável.

O TR-31 (formalmente definido coma ANSI X9 TR 31) é um formato de bloco de chave definido pelo American National Standards Institute (ANSI) para oferecer suporte à definição de atributos de chave na mesma estrutura de dados dos próprios dados de chave. O formato de bloco de teclas TR-31 define um conjunto de atributos-chave que são vinculados à chave para que sejam mantidos juntos. AWS A criptografia de pagamento usa termos padronizados do TR-31 sempre que possível para garantir a separação adequada das chaves e o propósito da chave. O TR-31 foi substituído pela ANSI X9.143-2022.

O TR-34 é uma implementação do ANSI X9.24-2 que descreve um protocolo para distribuir chaves simétricas com segurança (como 3DES e AES) usando técnicas assimétricas (como RSA). AWS A criptografia de pagamento usa métodos TR-34 para permitir a importação e exportação seguras de chaves.