目录
1 DUKPT简介
DUKPT(Derived Unique Key Per Transaction)是被ANSI定义的一套密钥管理体系和算法,用于解决金融支付领域的信息安全传输中的密钥管理问题,应用于对称密钥加密MAC、PIN等数据安全方面。保证每一次交易流程使用唯一的密钥,采用一种不可逆的密钥转换算法,使得无法从当前交易数据信息破解上一次交易密钥。要求收单行与终端必须同步支持该项密钥管理技术。由交易发起端点(S-TRSM,如POS、ATM)与交易接收端点(R-TRSM,如收单行)两部分组成。
注:TRSM(Tamper-Resistant Security Module)是一个具备阻止攻击能力的安全模块。
以下是 DUKPT的一些关键特点:
-
唯一性:DUKPT为每个交易生成一个唯一的加密密钥,确保即使相同的主密钥在不同交易中使用,也能产生不同的派生密钥。
-
分散:DUKPT使用一种称为分散的技术,通过将密钥按照一定规则扩展为不同的密钥,以增加密钥的安全性。
-
保密性:DUKPT通过不存储或传输主密钥的完整值,而是使用一个初始的主密钥派生出每个交易的密钥,从而增加了密钥的保密性。
-
动态变化:DUKPT可以动态地变化,以适应不同的交易条件。这使得攻击者更难预测下一个派生密钥。
-
逆推困难性:由于DUKPT的分散和动态性,逆推派生密钥以获取原始主密钥是非常困难的。
-
用途:DUKPT主要用于保护磁条卡数据、PIN(个人身份号码)加密和其他金融交易中的密钥管理。
2 基本概念
2.1 BDK
BDK(Base Derived Key)是用于派生其他密钥的基础密钥。在金融行业和加密领域中,BDK通常是一个16字节(128位)的密钥,用于生成其他密钥,如PIN加密密钥、MAC密钥等。BDK的安全性对整个加密系统至关重要,因为它作为生成其他关键的基础。通常,BDK是在加密设备的安全环境中生成和存储的,以确保其机密性。密钥派生函数将BDK与其他参数结合使用,生成用于特定加密目的的派生密钥。这有助于提高密钥的安全性,因为实际用于加密的密钥是通过派生而来的,而不是直接使用BDK。BDK在加密系统中扮演着关键的角色,它的安全性直接影响整个加密系统的强度。因此,保护和管理BDK是确保整个加密体系安全的一个重要方面。
2.2 KSN
KSN(Key Serial Number)是用于标识加密设备和交易的一种格式化序列号,由“密钥标识40bit+设备标识19bit+密钥计数器21bit”组成。KSN通常与加密操作一起使用,特别是在金融交易领域,用于生成派生密钥和跟踪加密设备的使用情况。KSN 的生成和使用是为了追踪和管理加密设备,确保其唯一性和完整性。在金融交易中,KSN 通常用于生成派生密钥,以确保每个交易都使用一个唯一的密钥,提高加密的安全性。
2.3 IPEK
IPEK(Initial Pin Encrypt Key)是金融领域中用于加密和解密用户个人身份号码(PIN)的密钥。IPEK通常是从BDK(Base Derivation Key)派生而来,通过一个特定的密钥派生函数生成。在金融交易中,IPEK用于保护用户的PIN,确保其传输和存储的安全性。
2.4 FK
FK 通常指 “Future Key”。在密码学和安全领域中,“Future Key” 指代在将来某个时刻用于加密或其他安全目的的密钥。在金融领域或其他需要密钥管理的地方,“Future Key” 是一个临时的术语,用于表示将来用于某些目的的密钥。这可能包括 PIN 密钥、MAC 密钥或其他加密密钥。FK 可能是从某个初始密钥派生出来,以确保密钥的定期轮换或更新。
2.5 TK
“TK” 通常指 “Transaction Key”,在金融领域中,这是一个用于保护特定交易的密钥,是 “Future Key” xor 分散向量得到的工作密钥TK,例如:
-
PIN 密钥的分散向量:00000000000000FF00000000000000FF
-
MAC 密钥的分散向量:000000000000FF00000000000000FF00
最低0.47元/天 解锁文章
扫一扫
74
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
