Terminología del sector

Una clave de trabajo del adquirente (AWK) es una clave que se utiliza normalmente para intercambiar datos entre un acquirer/acquirer procesador y una red (como Visa o Mastercard). Históricamente, AWK utiliza el 3DES para el cifrado y se representa como TR31_P0_PIN_ENCRYPTION_KEY.

Una clave de derivación base (BDK) es una clave funcional que se utiliza para derivar claves posteriores y se utiliza normalmente como parte del proceso PCI PIN y PCI P2PE DUKPT. Se denomina TR31_B0_BASE_DERIVATION_KEY.

Una clave maestra de tarjeta (CMK) es una o más claves específicas de una tarjeta que normalmente se derivan de una clave maestra del emisor, un PAN y una PSN y, por lo general, son claves 3DES. Estas claves se almacenan en el chip EMV durante la personalización. Entre los ejemplos de CMK se incluyen las teclas AC, SMI y SMC.

Una clave de criptograma de aplicación (AC) se utiliza como parte de las transacciones EMV para generar el criptograma de la transacción y es un tipo de clave maestra de tarjeta.

Una clave de integridad de mensajería segura (SMI) se utiliza como parte de EMV para verificar la integridad de las cargas útiles enviadas a la tarjeta mediante MAC, como los scripts de actualización de PIN. Es un tipo de clave maestra de la tarjeta.

Como parte del EMV, se utiliza una clave de confidencialidad segura de la mensajería (SMC) para cifrar los datos enviados a la tarjeta, como las actualizaciones del PIN. Es un tipo de clave maestra de la tarjeta.

Una clave de verificación de tarjeta (CVK) es una clave que se utiliza para generar valores CVV, CVV2 y similares mediante un algoritmo definido, así como para validar una entrada. Se denomina TR31_C0_CARD_VERIFICATION_KEY.

Una clave maestra del emisor (IMK) es una clave maestra que se utiliza como parte de la personalización de la tarjeta con chip EMV. Normalmente, habrá 3 IMK: una para las claves AC (criptograma), SMI (clave maestra de script para) y SMC (clave maestra de script para integrity/signature). confidentiality/encryption

Una clave inicial (IK) es la primera clave que se utiliza en el proceso DUKPT y se deriva de la clave de derivación básica (BDK). No se procesa ninguna transacción en esta clave, pero se usa para derivar claves futuras que se usarán para las transacciones. El método de derivación para crear una IK se definió en. X9.24-1:2017 Cuando se utiliza un BDK TDES, X9.24-1:2009 es el estándar aplicable y el IK se sustituye por la clave de cifrado con PIN inicial (IPEK).

Una clave de cifrado de PIN inicial (IPEK) es la clave inicial que se utiliza en el proceso DUKPT y se deriva de la clave de derivación básica (BDK). No se procesa ninguna transacción en esta clave, pero se usa para derivar claves futuras que se usarán para las transacciones. IPEK es un nombre inapropiado, ya que esta clave también se puede utilizar para derivar claves de cifrado de datos y de Mac. El método de derivación para crear un IPEK se definió en. X9.24-1:2009 Cuando se utiliza un BDK de AES, X9.24-1:2017 es el estándar aplicable y el IPEK se sustituye por la clave inicial (IK).

Una clave de trabajo del emisor (IWK) es una clave que se utiliza normalmente para intercambiar datos entre un issuer/issuer procesador y una red (como Visa o Mastercard). Históricamente, IWK utiliza el 3DES para el cifrado y se representa como TR31_P0_PIN_ENCRYPTION_KEY.

Una clave de cifrado de bloques de claves (KBPK) es un tipo de clave simétrica que se utiliza para proteger los bloques de claves y, por lo tanto, otras claves. wrap/encrypt Una KBPK es similar a una KEK, pero una KEK protege directamente el material de la clave, mientras que en TR-31 esquemas similares, la KBPK solo protege indirectamente la clave de trabajo. Cuando se utiliza TR-31, TR31_K1_KEY_BLOCK_PROTECTION_KEY es el tipo de clave correcto, aunque TR31_K0_KEY_ENCRYPTION_KEY se admite indistintamente con fines históricos.

Una clave de cifrado clave (KEK) es una clave que se utiliza para cifrar otras claves, ya sea para su transmisión o almacenamiento. Las claves destinadas a proteger otras claves suelen tener el valor TR31_K0_KEY_ENCRYPTION_KEY según el estándar. KeyUsage TR-31

Una clave de cifrado de PIN (PEK) es un tipo de clave funcional que se utiliza para cifrar los PIN, ya sea para su almacenamiento o transmisión entre dos partes. IWK y AWK son dos ejemplos de usos específicos de las claves de cifrado de PIN. Estas claves se representan como TR31_P0_PIN_ENCRYPTION_KEY.

PGK (clave de generación de PIN) es otro nombre para una clave de verificación de PIN. En realidad, no se usa para generar pines (que por defecto son números criptográficamente aleatorios), sino que se usa para generar valores de verificación como el PVV.

La clave de la región principal es la fuente de replicación autorizada de una clave de criptografía de pago determinada para la que se ha activado la replicación. PRK es una referencia a la función clave de la criptografía de pagos de origen en una Multi-Region configuración de replicación de claves. Cuando la replicación está habilitada en una clave de criptografía de pago, se denomina PRK para esa configuración de replicación de claves específica.

Una clave de verificación de PIN (PVK) es un tipo de clave de trabajo que se utiliza para generar valores de verificación de PIN, como la PVV. Los dos tipos más comunes son el TR31_V1_IBM3624_PIN_VERIFICATION_KEY, que se usa para generar valores de compensación del IBM3624, y el TR31_V2_VISA_PIN_VERIFICATION_KEY, que se usa para los valores de verificación. Visa/ABA También se conoce como clave de generación de pines.

Las claves de región de réplica son el material clave y los metadatos replicados que se copian de forma segura desde la PRK a una réplica configurada. Región de AWS Una RRK es una réplica de solo lectura de una clave de criptografía de pago. La RRK es una referencia, el papel que desempeña una clave específica en una configuración de replicación de Multi-Region claves. Todos los cambios clave en los metadatos, incluida la configuración de replicación, deben aplicarse a la PRK.

El criptograma de solicitud de autorización (ARQC) es un criptograma generado en el momento de la transacción mediante una tarjeta con chip estándar EMV (o una implementación sin contacto equivalente). Por lo general, un ARQC se genera mediante una tarjeta con chip y se envía al emisor o a su agente para su verificación en el momento de la transacción.

El valor de verificación de una tarjeta es un valor secreto estático que, tradicionalmente, estaba incrustado en una banda magnética y se utilizaba para validar la autenticidad de una transacción. El algoritmo también se utiliza para otros fines, como iCVV, CAVV, CVV2. Es posible que no esté integrado de esta manera para otros casos de uso.

El valor de verificación de una tarjeta 2 es un valor secreto estático que tradicionalmente se imprimía en el anverso (o reverso) de una tarjeta de pago y que se utiliza para verificar la autenticidad de los pagos con tarjetas no presentes (por ejemplo, por teléfono o en línea). Utiliza el mismo algoritmo que el CVV, pero el código de servicio está establecido en 000.

iCVV es un CVV2-like valor, pero está integrado con los datos equivalentes a track2 en una tarjeta EMV (chip). Este valor se calcula con un código de servicio 999 y es diferente al utilizado CVV1/CVV2 para evitar que la información robada se utilice para crear nuevas credenciales de pago de otro tipo. Por ejemplo, si se obtuvieron datos de transacciones con chips, no es posible utilizarlos para generar una banda magnética (CVV1) ni para realizar compras en línea (CVV2).

Utiliza una clave CVK

La clave única derivada por transacción (DUKPT) es un estándar de administración de claves que se suele utilizar para definir el uso de claves de cifrado físicas de un solo uso. POS/POI Históricamente, DUKPT utiliza el 3DES para el cifrado. El estándar industrial para el DUKPT se define en el ANSI. X9.24-3-2017

El ECC (criptografía de curva elíptica) es un sistema de criptografía de clave pública que utiliza las matemáticas de las curvas elípticas para crear claves de cifrado. El ECC proporciona el mismo nivel de seguridad que los métodos tradicionales, como el RSA, pero con longitudes de clave mucho más cortas, lo que proporciona una seguridad equivalente de una manera más eficiente. Esto es especialmente relevante para los casos de uso en los que RSA no es una solución práctica (longitud de clave RSA superior a 4096 bits). AWS La criptografía de pagos admite curvas definidas por el NIST para su uso en las operaciones del ECDH.

El ECDH (curva elíptica Diffie-Hellman) es un protocolo de acuerdo clave que permite a dos partes establecer un secreto compartido (como un KEK o un PEK). En el ECDH, las Partes A y B tienen sus propios pares de claves público-privadas e intercambian claves públicas entre sí (en forma de certificados de criptografía de AWS pago), así como metadatos de derivación de claves (método de derivación, tipo de hash e información compartida). Ambas partes multiplican su clave privada por la clave pública de la otra y, gracias a las propiedades de la curva elíptica, ambas partes pueden derivar (generar) la clave resultante.

EMV (originalmente Europay, Mastercard y Visa) es un organismo técnico que trabaja con las partes interesadas en los pagos para crear estándares y tecnologías de pago interoperables. Un ejemplo de norma es el de chip/contactless las tarjetas y los terminales de pago con los que interactúan, incluida la criptografía utilizada. La derivación de claves EMV se refiere a los métodos que permiten generar claves únicas para cada tarjeta de pago a partir de un conjunto inicial de claves, como una IMK

Un módulo de seguridad de hardware (HSM) es un dispositivo físico que protege las operaciones criptográficas (por ejemplo, el cifrado, el descifrado y las firmas digitales), así como las claves subyacentes que se utilizan para estas operaciones.

Un custodio de claves como servicio (KCAAS) proporciona una variedad de servicios relacionados con la administración de claves. En el caso de las claves de pago, normalmente pueden convertir los componentes clave en papel en formularios electrónicos compatibles con la criptografía de AWS pago o convertir las claves protegidas electrónicamente en componentes en papel que podrían necesitar algunos proveedores. También pueden ofrecer servicios de custodia de llaves para las llaves cuya pérdida sería perjudicial para sus operaciones en curso. Los proveedores de KCAAS pueden ayudar a los clientes a reducir la carga operativa que supone gestionar el material clave fuera de un servicio seguro, como la criptografía de AWS pagos, de forma que cumplan con las normas PCI DSS, PCI PIN y PCI P2PE. AWS La criptografía de pagos ofrece Intercambio de claves físicas una capacidad KCAAS integrada para convertir componentes clave en papel a formato electrónico.

El valor de comprobación de claves (KCV) se refiere a una variedad de métodos de suma de comprobación que se utilizan principalmente para comparar claves entre sí sin tener acceso al material de las claves propiamente dichas. Los KCV también se han utilizado para validar la integridad (especialmente cuando se intercambian claves), aunque esta función ahora se incluye como parte de los formatos de bloques de claves, como TR-31. En el caso de las claves TDES, el KCV se calcula cifrando 8 bytes, cada uno con un valor igual a cero, con la clave que hay que comprobar y reteniendo los 3 bytes más importantes del resultado cifrado. En el caso de las claves AES, el KCV se calcula mediante un algoritmo CMAC en el que los datos de entrada son 16 bytes de cero y se retienen los 3 bytes de orden superior del resultado cifrado.

Un host de distribución de claves (KDH) es un dispositivo o sistema que envía claves en un proceso de intercambio de claves, por ejemplo. TR-34 Cuando se envían claves desde AWS Payment Cryptography, se considera el KDH.

Un servicio de inyección de claves (KIF) es un servicio seguro que se utiliza para inicializar los terminales de pago e incluso cargarlos con claves de cifrado.

Un dispositivo receptor de claves (KRD) es un dispositivo que recibe claves en un proceso de intercambio de claves, como. TR-34 Al enviar claves a la criptografía de AWS pagos, se considera el KRD.

Un número de serie clave (KSN) es un valor que se utiliza como entrada en DUKPT encryption/decryption para crear claves de cifrado únicas por transacción. Por lo general, el KSN consta de un identificador BDK, un identificador de terminal semi-exclusivo y un contador de transacciones que se incrementa con cada transición procesada en un terminal de pago determinado. Por ejemplo X9.24, en el caso del TDES, el KSN de 10 bytes suele constar de 24 bits para el ID del conjunto de claves, 19 bits para el ID del terminal y 21 bits para el contador de transacciones, aunque el límite entre el ID del conjunto de claves y el ID del terminal no afecta a la función de la criptografía de pagos. AWS En el caso del AES, el KSN de 12 bytes suele constar de 32 bits para el ID del BDK, 32 bits para el identificador de derivación (ID) y 32 bits para el contador de transacciones.

El mPoC (punto de venta móvil con hardware comercial) es un estándar PCI que aborda los requisitos de seguridad de las soluciones que permiten a los comerciantes aceptar PIN de los titulares de tarjetas o pagos sin contacto mediante un teléfono inteligente u otros dispositivos móviles comerciales listos para usar (COTS).

El número de cuenta principal (PAN) es un identificador único para una cuenta, como una tarjeta de crédito o débito. Suele tener entre 13 y 19 dígitos. Los primeros 6 a 8 dígitos identifican la red y el banco emisor.

Un bloque de datos que contiene un PIN durante el procesamiento o la transmisión, así como otros elementos de datos. Los formatos de bloque de PIN estandarizan el contenido del bloque de PIN y la forma en que se puede procesar para recuperar el PIN. La mayoría de los bloques de PIN están compuestos por el PIN, la longitud del PIN y, con frecuencia, contienen parte o todo el PAN. AWS La criptografía de pagos es compatible con los formatos ISO 9564-1 0, 1, 3 y 4. El formato 4 es obligatorio para las claves AES. Al verificar o traducir los PIN, es necesario especificar el bloque de PIN de los datos entrantes o salientes.

El punto de interacción (POI), que también se utiliza con frecuencia de forma anónima con el punto de venta (POS), es el dispositivo de hardware con el que el titular de la tarjeta interactúa para presentar su credencial de pago. Un ejemplo de POI es la terminal física de un establecimiento comercial. Para ver la lista de terminales POI PCI PTS certificados, consulte el sitio web de PCI.

El número de secuencia PAN (PSN) es un valor numérico que se utiliza para diferenciar varias tarjetas emitidas con el mismo PAN.

Cuando se utilizan cifrados asimétricos (RSA, ECC), la clave pública es el componente público de un par de claves público-privadas. La clave pública se puede compartir y distribuir a entidades que necesitan cifrar datos para el propietario del par de claves público-privado. Para las operaciones de firma digital, la clave pública se utiliza a fin de verificar la firma.

Cuando se utilizan cifrados asimétricos (RSA, ECC), la clave privada es el componente privado de un par de claves público-privadas. La clave privada se utiliza para descifrar los datos o crear firmas digitales. Al igual que las claves simétricas de criptografía AWS de pagos, los HSM crean las claves privadas de forma segura. Solo se descifran en la memoria volátil del HSM y únicamente durante el tiempo necesario para procesar su solicitud criptográfica.

Un valor de verificación de PIN (PVV) es un tipo de salida criptográfica que se puede utilizar para verificar un PIN sin almacenar el pin real. Aunque es un término genérico, en el contexto de la criptografía de AWS pagos, PVV se refiere al método PVV de Visa o ABA. Este PVV es un número de cuatro dígitos cuyas entradas son el número de la tarjeta, el número de secuencia panorámica, la propia bandeja y una clave de verificación del PIN. Durante la fase de validación, AWS Payment Cryptography recrea internamente el PVV utilizando los datos de la transacción y lo compara de nuevo con el valor almacenado por el AWS cliente de Payment Cryptography. En este sentido, es conceptualmente similar a un hash criptográfico o MAC.

La envoltura RSA utiliza una clave asimétrica para envolver una clave simétrica (como una clave TDES) para su transmisión a otro sistema. Solo el sistema con la clave privada coincidente puede descifrar la carga útil y cargar la clave simétrica. Por el contrario, RSA unwrap descifrará de forma segura una clave cifrada con RSA y, a continuación, la cargará en la criptografía de pagos. AWS El empaquetado RSA es un método de bajo nivel para intercambiar claves y no transmite las claves en formato de bloque de claves ni utiliza la firma de carga útil por parte de la parte que las envía. Se deben considerar controles alternativos para determinar la procedencia y comprobar que los atributos clave no están mutados.

TR-34 también utiliza RSA internamente, pero es un formato independiente y no es interoperable.

TR-31 (definido formalmente como ANSI X9 TR 31) es un formato de bloques clave definido por el Instituto Nacional de Normalización de los Estados Unidos (ANSI) para permitir la definición de los atributos clave en la misma estructura de datos que los propios datos clave. El formato de bloque de TR-31 teclas define un conjunto de atributos clave que están vinculados a la clave para que se mantengan unidos. AWS La criptografía de pagos utiliza términos TR-31 estandarizados siempre que es posible para garantizar una separación y un propósito adecuados de las claves. TR-31 ha sido sustituida por el ANSI. X9.143-2022

TR-34 es una implementación del ANSI X9.24-2 que describe un protocolo para distribuir de forma segura claves simétricas (como 3DES y AES) mediante técnicas asimétricas (como RSA). AWS La criptografía de pagos utiliza TR-34 métodos que permiten la importación y exportación seguras de claves.

X9.143 es un formato de bloque de claves definido por el Instituto Nacional de Normalización de los Estados Unidos (ANSI) para proteger una clave y sus atributos en la misma estructura de datos. El formato de bloque de claves define un conjunto de atributos clave que están vinculados a la clave para que se mantengan unidos. AWS La criptografía de pagos utiliza términos X9.143 estandarizados siempre que es posible para garantizar una separación y un propósito adecuados de las claves. X9.143 sustituye a la TR-31propuesta anterior, aunque en la mayoría de los casos son compatibles con versiones anteriores y posteriores y los términos suelen utilizarse indistintamente.