Terminologia do setor

Uma chave de trabalho do adquirente (AWK) é uma chave normalmente usada para trocar dados entre um acquirer/acquirer processador e uma rede (como Visa ou Mastercard). Historicamente, a AWK utiliza 3DES para criptografia e seria representada como TR31_P0_PIN_ENCRYPTION_KEY.

Uma chave de derivação de base (BDK) é uma chave de trabalho usada para derivar chaves subsequentes e é comumente usada como parte do processo PCI PIN e PCI P2PE DUKPT. É indicada como TR31_B0_BASE_DERIVATION_KEY.

Uma chave mestra do cartão (CMK) é uma ou mais chaves específicas do cartão, normalmente derivadas de uma chave mestra do emissor, PAN e PSN e geralmente são chaves 3DES. Essas chaves são armazenadas no chip EMV durante a personalização. Exemplos de CMKs incluem chaves AC, SMI e SMC.

Uma chave de criptograma de aplicativo (AC) é usada como parte das transações EMV para gerar o criptograma da transação e é um tipo de chave mestra do cartão.

Uma chave de integridade segura de mensagens (SIM) é usada como parte do EMV para verificar a integridade das cargas enviadas ao cartão usando MAC, como scripts de atualização de PIN. É um tipo de chave mestra de cartão.

Uma chave de confidencialidade segura de mensagens (SMC) é usada como parte do EMV para criptografar dados enviados ao cartão, como atualizações de PIN. É um tipo de chave mestra de cartão.

Uma chave de verificação de cartão (CVK) é uma chave usada para gerar CVV, CVV2 e valores similares usando um algoritmo definido, além de validar uma entrada. É indicada como TR31_C0_CARD_VERIFICATION_KEY.

Uma chave mestra do emissor (IMK) é uma chave mestra usada como parte da personalização do cartão com chip EMV. Normalmente, haverá 3 IMKs - um para cada chave AC (criptograma), SMI (chave mestra de script para integrity/signature) e SMC (chave mestra de script para). confidentiality/encryption

Uma chave inicial (IK) é a primeira chave usada no processo DUKPT e deriva da Chave de Derivação Base (BDK). Nenhuma transação é processada nessa chave, mas ela é usada para derivar chaves futuras que serão usadas para transações. O método de derivação para criar um IK foi definido em X9.24-1:2017. Quando um TDES BDK é usado, X9.24-1:2009 é o padrão aplicável e o IK é substituído pela chave de criptografia de pino inicial (IPEK).

Uma chave de criptografia PIN inicial (IPEK) é a chave inicial usada no processo de DUKPT e deriva da chave de derivação base (BDK). Nenhuma transação é processada nessa chave, mas ela é usada para derivar chaves futuras que serão usadas para transações. IPEK é um nome impróprio, pois essa chave também pode ser usada para derivar criptografia de dados e chaves mac. O método de derivação para criar um IPEK foi definido em. X9.24-1:2009 Quando um AES BDK é usado, X9.24-1:2017 é o padrão aplicável e o IPEK é substituído pela Chave Inicial (IK).

Uma chave de trabalho do emissor (IWK) é uma chave normalmente usada para trocar dados entre um issuer/issuer processador e uma rede (como Visa ou Mastercard). Historicamente, a IWK utiliza o 3DES para criptografia e é representada como TR31_P0_PIN_ENCRYPTION_KEY.

Uma chave de criptografia de bloco de chaves (KBPK) é um tipo de chave simétrica usada para proteger blocos de chaves e, portanto, outras chaves. wrap/encrypt Um KBPK é semelhante a um KEK, mas um KEK protege diretamente o material da chave, enquanto em TR-31 esquemas similares, o KBPK protege apenas indiretamente a chave de trabalho. Ao usar TR-31, TR31_K1_KEY_BLOCK_PROTECTION_KEY é o tipo de chave correto, embora TR31_K0_KEY_ENCRYPTION_KEY seja suportado de forma intercambiável para fins históricos.

Uma chave de criptografia de chave (KEK) é uma chave usada para criptografar outras chaves para transmissão ou armazenamento. As chaves destinadas a proteger outras chaves geralmente têm um KeyUsage TR31_K0_KEY_ENCRYPTION_KEY de acordo com o padrão. TR-31

Uma chave de criptografia de PIN (PEK) é um tipo de chave de trabalho usada para criptografar PINs para armazenamento ou transmissão entre duas partes. IWK e AWK são dois exemplos de usos específicos de chaves de criptografia de PINs. Essas chaves são representadas como TR31_P0_PIN_ENCRYPTION_KEY.

PGK (chave de geração de pinos) é outro nome para uma chave de verificação de pinos. Na verdade, não é usado para gerar pinos (que, por padrão, são números criptograficamente aleatórios), mas sim para gerar valores de verificação, como PVV.

A chave de região primária é a fonte de replicação autorizada para uma determinada chave de criptografia de pagamento para a qual a replicação foi ativada. O PRK é uma referência a um papel fundamental da criptografia de pagamento de origem em uma configuração de replicação de Multi-Region chaves. Quando a replicação é habilitada em uma chave de criptografia de pagamento, ela é chamada de PRK para essa configuração específica de replicação de chaves.

Uma chave de verificação de PIN (PVK) é um tipo de chave de trabalho usada para gerar valores de verificação de PIN, como PVV. Os dois tipos mais comuns são TR31_V1_IBM3624_PIN_VERIFICATION_KEY usado para gerar valores de deslocamento do IBM3624 e TR31_V2_VISA_PIN_VERIFICATION_KEY usado para valores de verificação. Visa/ABA Isso também pode ser conhecido como chave de geração de pinos.

As chaves de região da réplica são o material da chave replicada e os metadados copiados com segurança da PRK para uma réplica configurada. Região da AWS Um RRK é uma réplica somente para leitura de uma chave de criptografia de pagamento. O RRK é uma referência ao papel que uma chave específica desempenha em uma configuração de replicação de Multi-Region chaves. Todas as principais alterações nos metadados, incluindo as configurações de replicação, devem ser aplicadas ao PRK.

O criptograma de solicitação de autorização (ARQC) é um criptograma gerado por um cartão com chip padrão EMV (ou implementação sem contato equivalente) no momento da transação. Normalmente, um ARQC é gerado por um cartão com chip e encaminhado a um emissor ou seu agente para verificação no momento da transação.

O valor de verificação do cartão é um valor secreto estático que era tradicionalmente incorporado em uma tarja magnética e usado para validar a autenticidade de uma transação. O algoritmo também é usado para outros fins, como iCVV, CAVV, CVV2. Ele pode não ser incorporado dessa forma para outros casos de uso.

Um valor de verificação de cartão 2 é um valor secreto estático que era tradicionalmente impresso na frente (ou no verso) de um cartão de pagamento e é usado para verificar a autenticidade de pagamentos com cartão não presente (como por telefone ou on-line). Ele usa o mesmo algoritmo do CVV, mas o código do serviço está definido como 000.

iCVV é um CVV2-like valor, mas incorporado aos dados equivalentes do track2 em um cartão EMV (Chip). Esse valor é calculado usando um código de serviço de 999 e é diferente do CVV1/CVV2 para evitar que informações roubadas sejam usadas para criar novas credenciais de pagamento de um tipo diferente. Por exemplo, se os dados da transação do chip foram obtidos, não é possível usar esses dados para gerar uma tarja magnética (CVV1) ou para compras on-line (CVV2).

Ele usa uma CVK chave

A chave única derivada por transação (DUKPT) é um padrão de gerenciamento de chaves normalmente usado para definir o uso de chaves de criptografia de uso único em formato físico. POS/POI Historicamente, a DUKPT utiliza 3DES para criptografia. O padrão da indústria para DUKPT é definido em ANSI. X9.24-3-2017

ECC (Elliptic Curve Cryptography) é um sistema de criptografia de chave pública que usa a matemática das curvas elípticas para criar chaves de criptografia. O ECC fornece o mesmo nível de segurança dos métodos tradicionais, como o RSA, mas com comprimentos de chave muito menores, fornecendo segurança equivalente de maneira mais eficiente. Isso é especialmente relevante para casos de uso em que o RSA não é uma solução prática (comprimento da chave RSA > 4096 bits). AWS A criptografia de pagamento suporta curvas definidas pelo NIST para uso em operações de ECDH.

O ECDH (curva elíptica Diffie-Hellman) é um protocolo de acordo chave que permite que duas partes estabeleçam um segredo compartilhado (como um KEK ou um PEK). No ECDH, as Partes A e B têm seus próprios pares de chaves público-privadas e trocam chaves públicas entre si (na forma de certificados para criptografia de AWS pagamento), bem como metadados de derivação de chaves (método de derivação, tipo de hash e informações compartilhadas). Ambas as partes multiplicam sua chave privada pela chave pública da outra e, devido às propriedades da curva elíptica, ambas as partes são capazes de derivar (gerar) a chave resultante.

A EMV (originalmente Europay, Mastercard, Visa) é um órgão técnico que trabalha com as partes interessadas em pagamentos para criar padrões e tecnologias de pagamento interoperáveis. Um exemplo de padrão é para chip/contactless cartões e os terminais de pagamento com os quais eles interagem, incluindo a criptografia usada. A derivação de chave EMV se refere ao (s) método (s) de geração de chaves exclusivas para cada cartão de pagamento com base em um conjunto inicial de chaves, como um IMK

Um módulo de segurança de hardware (HSM) é um dispositivo físico que protege as operações criptográficas (por exemplo, criptografia, decodificação e assinaturas digitais), bem como as chaves subjacentes usadas para essas operações.

A Key Custodian As A Service (KCAAS) fornece uma variedade de serviços relacionados ao gerenciamento de chaves. Para chaves de pagamento, eles normalmente podem converter componentes-chave em papel em formulários eletrônicos suportados pela criptografia de AWS pagamento ou converter chaves protegidas eletronicamente em componentes em papel que podem ser exigidos por determinados fornecedores. Eles também podem fornecer serviços de depósito de chaves para chaves cuja perda prejudicaria suas operações em andamento. Os fornecedores da KCAAS podem ajudar os clientes a aliviar a carga operacional de gerenciar materiais essenciais fora de um serviço seguro, como criptografia de AWS pagamento, de forma compatível com os padrões PCI DSS, PCI PIN e PCI P2PE. AWS A criptografia de pagamento oferece Troca física de chaves um recurso KCAAS integrado para converter os principais componentes em papel em formato eletrônico.

O valor de verificação de chave (KCV) se refere a uma variedade de métodos de soma de verificação usados principalmente para comparar as chaves entre si sem ter acesso ao material real da chave. O KCV também tem sido usado para validação de integridade (especialmente ao trocar chaves), embora essa função agora esteja incluída como parte de formatos de blocos de chaves, como TR-31. Para chaves TDES, o KCV é calculado criptografando 8 bytes, cada um com valor zero, com a chave a ser verificada e retendo os 3 bytes de ordem mais alta do resultado criptografado. Para chaves AES, o KCV é calculado usando um algoritmo CMAC em que os dados de entrada são 16 bytes de zero e retêm os 3 bytes de ordem mais alta do resultado criptografado.

Um host de distribuição de chaves (KDH) é um dispositivo ou sistema que está enviando chaves em um processo de troca de chaves, como. TR-34 Ao enviar chaves do AWS Payment Cryptography, isso é considerado o KDH.

Uma instalação de injeção de chave (KIF) é um recurso seguro usado para inicializar terminais de pagamento, incluindo carregá-los com chaves de criptografia.

Um dispositivo de recebimento de chaves (KRD) é um dispositivo que está recebendo chaves em um processo de troca de chaves, como TR-34. Ao enviar chaves para criptografia AWS de pagamento, ela é considerada o KRD.

Um Número de Série da Chave (KSN) é um valor usado como entrada para o DUKPT encryption/decryption para criar chaves de criptografia exclusivas por transação. Normalmente, o KSN consiste em um identificador BDK, um ID de terminal semi-exclusivo e um contador de transações, que é incrementado em cada transição processada em um determinado terminal de pagamento. Por exemplo X9.24, para o TDES, o KSN de 10 bytes normalmente consiste em 24 bits para o ID do conjunto de chaves, 19 bits para o ID do terminal e 21 bits para o contador de transações, embora o limite entre o ID do conjunto de chaves e o ID do terminal não tenha impacto na função da criptografia de pagamento. AWS Para o AES, o KSN de 12 bytes normalmente consiste em 32 bits para o ID do BDK, 32 bits para o identificador de derivação (ID) e 32 bits para o contador da transação.

O mPOC (ponto de venda móvel em hardware comercial) é um padrão PCI que atende aos requisitos de segurança de soluções que permitem que os comerciantes aceitem PINs do titular do cartão ou pagamentos sem contato usando um smartphone ou outros dispositivos móveis comerciais prontos para uso (COTS).

Um número primário de conta (PAN) é um identificador exclusivo para uma conta, como um cartão de crédito ou débito. Normalmente, tem de 13 a 19 dígitos de comprimento. Os primeiros 6 a 8 dígitos identificam a rede e o banco emissor.

Um bloco de dados contendo um PIN durante o processamento ou transmissão, bem como outros elementos de dados. Os formatos de bloco de PIN padronizam o conteúdo do bloco de PIN e como ele pode ser processado para recuperar o PIN. A maioria dos blocos de PIN é composta pelo PIN, pelo comprimento do PIN e frequentemente contém parte ou a totalidade do PAN. AWS A criptografia de pagamento suporta os formatos ISO 9564-1 0, 1, 3 e 4. O Formato 4 é necessário para chaves AES. Ao verificar ou traduzir PINs, é necessário especificar o bloco de PIN dos dados de entrada ou saída.

O Ponto de Interação (POI), também frequentemente usado anonimamente com o Ponto de Venda (POS), é o dispositivo de hardware com o qual o titular do cartão interage para apresentar sua credencial de pagamento. Um exemplo de POI é o terminal físico em um estabelecimento comercial. Para obter a lista de terminais PCI PTS POI certificados, consulte o site da PCI.

O número de sequência PAN (PSN) é um valor numérico usado para diferenciar vários cartões emitidos com o mesmo PAN.

Ao usar cifras assimétricas (RSA, ECC), a chave pública é o componente público de um par de chaves público-privado. A chave pública pode ser compartilhada e distribuída para entidades que precisam criptografar dados para o proprietário do par de chaves público-privadas. Para operações de assinatura digital, a chave pública é usada para verificar a assinatura.

Ao usar cifras assimétricas (RSA, ECC), a chave privada é o componente privado de um par de chaves pública-privada. A chave privada é usada para descriptografar dados ou criar assinaturas digitais. Semelhante às chaves simétricas AWS de criptografia de pagamento, as chaves privadas são criadas com segurança pelos HSMs. Elas são descriptografadas somente na memória volátil do HSM e somente pelo tempo necessário para processar sua solicitação criptográfica.

Um valor de verificação de PIN (PVV) é um tipo de saída criptográfica que pode ser usada para verificar um pino sem armazenar o pino real. Embora seja um termo genérico, no contexto da criptografia de AWS pagamento, PVV se refere ao método Visa ou ABA PVV. Esse PVV é um número de quatro dígitos cujas entradas são o número do cartão, o número de sequência do pan, o próprio pan e uma chave de verificação do PIN. Durante o estágio de validação, a criptografia de AWS pagamento recria internamente o PVV usando os dados da transação e o compara novamente com o valor que foi armazenado pelo cliente da criptografia de pagamento. AWS Dessa forma, é conceitualmente semelhante a um hash criptográfico ou MAC.

O RSA wrap usa uma chave assimétrica para encapsular uma chave simétrica (como uma chave TDES) para transmissão para outro sistema. Somente o sistema com a chave privada correspondente pode descriptografar a carga e carregar a chave simétrica. Por outro lado, o RSA unwrap decodificará com segurança uma chave criptografada usando RSA e, em seguida, carregará a chave na Criptografia de Pagamento. AWS O RSA wrap é um método de troca de chaves de baixo nível e não transmite chaves no formato de bloco de chaves e não utiliza a assinatura de carga útil pela parte remetente. Controles alternativos devem ser considerados para verificar se a providência e os principais atributos não estão alterados.

TR-34 também utiliza o RSA internamente, mas é um formato separado e não é interoperável.

TR-31 (formalmente definido como ANSI X9 TR 31) é um formato de bloco de chave definido pelo American National Standards Institute (ANSI) para dar suporte à definição de atributos-chave na mesma estrutura de dados dos próprios dados-chave. O formato do bloco de TR-31 chaves define um conjunto de atributos-chave vinculados à chave para que sejam mantidos juntos. AWS A criptografia de pagamento usa termos TR-31 padronizados sempre que possível para garantir a separação adequada das chaves e a finalidade da chave. TR-31 foi substituído pelo ANSI. X9.143-2022

TR-34 é uma implementação do ANSI X9.24-2 que descreveu um protocolo para distribuir chaves simétricas com segurança (como 3DES e AES) usando técnicas assimétricas (como RSA). AWS A criptografia de pagamento usa TR-34 métodos para permitir a importação e exportação seguras de chaves.

X9.143 é um formato de bloco de chaves definido pelo American National Standards Institute (ANSI) para oferecer suporte à proteção de uma chave e de atributos chave na mesma estrutura de dados. O formato do bloco de chaves define um conjunto de atributos-chave vinculados à chave para que sejam mantidos juntos. AWS A criptografia de pagamento usa termos X9.143 padronizados sempre que possível para garantir a separação adequada das chaves e a finalidade da chave. X9.143 substitui a TR-31proposta anterior, embora na maioria dos casos sejam compatíveis com versões anteriores e anteriores e os termos sejam frequentemente usados de forma intercambiável.