Terminologi industri - AWS Kriptografi Pembayaran
Jenis kunci umumIstilah lain

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terminologi industri

Jenis kunci umum

AWK

Kunci kerja pengakuisisi (AWK) adalah kunci yang biasanya digunakan untuk bertukar data antara prosesor pengakuisisi dan jaringan (seperti Visa atau Mastercard). Secara historis AWK memanfaatkan 3DES untuk enkripsi dan akan direpresentasikan sebagai TR31_P0_PIN_ENCRYPTION_KEY.

BDK

Kunci derivasi dasar (BDK) adalah kunci kerja yang digunakan untuk menurunkan kunci berikutnya dan biasanya digunakan sebagai bagian dari proses PCI PIN dan PCI P2PE DUKPT. Hal ini dilambangkan sebagai TR31_B0_BASE_DERIVATION_KEY.

CMK

Kunci master kartu (CMK) adalah satu atau lebih kunci spesifik kartu yang biasanya berasal dari Kunci Master Penerbit, PAN dan PSN dan biasanya merupakan kunci 3DES. Kunci-kunci ini disimpan di EMV Chip selama personalisasi. Contoh CMK termasuk kunci AC, SMI dan SMC.

CMK-AC

Kunci kriptogram aplikasi (AC) digunakan sebagai bagian dari transaksi EMV untuk menghasilkan kriptogram transaksi dan merupakan jenis kunci master kartu.

CMK-SMI

Kunci integritas pesan aman (SMI) digunakan sebagai bagian dari EMV untuk memverifikasi integritas muatan yang dikirim ke kartu menggunakan MAC seperti skrip pembaruan pin. Ini adalah jenis kunci master kartu.

CMK-SMC

Kunci kerahasiaan pesan aman (SMC) digunakan sebagai bagian dari EMV untuk mengenkripsi data yang dikirim ke kartu seperti pembaruan pin. Ini adalah jenis kunci master kartu.

CVK

Kunci verifikasi kartu (CVK) adalah kunci yang digunakan untuk menghasilkan CVV, CVV2 dan nilai serupa menggunakan algoritma yang ditentukan serta memvalidasi input. Hal ini dilambangkan sebagai TR31_C0_CARD_VERIFICATION_KEY.

IMK

Sebuah issuer master key (IMK) adalah kunci master yang digunakan sebagai bagian dari personalisasi kartu chip EMV. Biasanya akan ada 3 IMK - masing-masing untuk AC (kriptogram), SMI (kunci master skrip untuk integritas/tanda tangan), dan SMC (kunci master skrip untuk kerahasiaan/enkripsi) kunci.

IK

Kunci awal (IK) adalah kunci pertama yang digunakan dalam proses DUKPT dan berasal dari Kunci Derivasi Dasar (BDK). Tidak ada transaksi yang diproses pada kunci ini, tetapi digunakan untuk mendapatkan kunci future yang akan digunakan untuk transaksi. Metode derivasi untuk membuat IK didefinisikan dalam X9. 24-1:2017. Ketika TDES BDK digunakan, X9. 24-1:2009 adalah standar yang berlaku dan IK diganti dengan Initial Pin Encryption Key (IPEK).

IPEK

Kunci enkripsi PIN awal (IPEK) adalah kunci awal yang digunakan dalam proses DUKPT dan berasal dari Kunci Derivasi Dasar (BDK). Tidak ada transaksi yang diproses pada kunci ini, tetapi digunakan untuk mendapatkan kunci future yang akan digunakan untuk transaksi. IPEK adalah keliru karena kunci ini juga dapat digunakan untuk mendapatkan enkripsi data dan kunci mac. Metode derivasi untuk membuat IPEK didefinisikan dalam X9. 24-1:2009. Ketika AES BDK digunakan, X9. 24-1:2017 adalah standar yang berlaku dan IPEK diganti dengan Initial Key (IK).

IWK

Kunci kerja penerbit (IWK) adalah kunci yang biasanya digunakan untuk bertukar data antara penerbit/penerbit prosesor dan jaringan (seperti Visa atau Mastercard). Secara historis IWK memanfaatkan 3DES untuk enkripsi dan direpresentasikan sebagai TR31_P0_PIN_ENCRYPTION_KEY.

KEK

Kunci enkripsi kunci (KEK) adalah kunci yang digunakan untuk mengenkripsi kunci lain baik untuk transmisi atau penyimpanan. Kunci yang dimaksudkan untuk melindungi kunci lain biasanya memiliki KeyUsage TR31_K0_KEY_ENCRYPTION_KEY sesuai dengan standar. TR-31

PEK

Kunci enkripsi PIN (PEK) adalah jenis kunci kerja yang digunakan untuk mengenkripsi PIN baik untuk penyimpanan atau transmisi antara dua pihak. IWK dan AWK adalah dua contoh penggunaan spesifik kunci enkripsi pin. Kunci ini direpresentasikan sebagai TR31_P0_PIN_ENCRYPTION_KEY.

PGK

PGK (Pin Generation Key) adalah nama lain untuk Kunci Verifikasi Pin. Ini sebenarnya tidak digunakan untuk menghasilkan pin (yang secara default adalah angka acak kriptografis) tetapi digunakan untuk menghasilkan nilai verifikasi seperti PVV.

PVK

Kunci verifikasi PIN (PVK) adalah jenis kunci kerja yang digunakan untuk menghasilkan nilai verifikasi PIN seperti PVV. Dua jenis yang paling umum adalah TR31_V1_IBM3624_PIN_VERIFICATION_KEY yang digunakan untuk menghasilkan nilai offset IBM3624 dan TR31_V2_VISA_PIN_VERIFICATION_KEY digunakan untuk nilai verifikasi VISA/ABA. Ini juga bisa dikenal sebagai Pin Generation Key.

Istilah lain

ARQC

Authorization Request Cryptogram (ARQC) adalah kriptogram yang dihasilkan pada waktu transaksi oleh kartu chip standar EMV (atau implementasi tanpa kontak yang setara). Biasanya, ARQC dihasilkan oleh kartu chip dan diteruskan ke penerbit atau agen mereka untuk memverifikasi pada waktu transaksi.

CVV

Nilai verifikasi kartu adalah nilai rahasia statis yang secara tradisional tertanam pada strip magnetik dan digunakan untuk memvalidasi keaslian transaksi. Algoritma ini juga digunakan untuk tujuan lain seperti iCVV, CAVV, CVV2. Ini mungkin tidak disematkan dengan cara ini untuk kasus penggunaan lainnya.

CVV2

Nilai verifikasi kartu 2 adalah nilai rahasia statis yang secara tradisional dicetak di bagian depan (atau belakang) kartu pembayaran dan digunakan untuk memverifikasi keaslian kartu yang tidak ada pembayaran (seperti di telepon atau online). Ini menggunakan algoritma yang sama dengan CVV tetapi kode layanan diatur ke 000.

iCVV

iCVV adalah nilai seperti CVV2 tetapi disematkan dengan data setara track2 pada kartu EMV (Chip). Nilai ini dihitung menggunakan kode layanan 999 dan berbeda dari CVV1/CVV2 untuk mencegah informasi yang dicuri digunakan untuk membuat kredensi pembayaran baru dari jenis yang berbeda. Misalnya, jika data transaksi chip diperoleh, tidak mungkin menggunakan data ini untuk menghasilkan strip magnetik (CVV1) atau untuk pembelian online (CVV2).

Ini menggunakan CVK kunci

DUKPT

Derived Unique Key Per Transaction (DUKPT) adalah standar manajemen kunci yang biasanya digunakan untuk menentukan penggunaan kunci enkripsi sekali pakai pada POS/POI fisik. Secara historis DUKPT memanfaatkan 3DES untuk enkripsi. Standar industri untuk DUKPT didefinisikan dalam ANSI X9.24-3-2017.

EMV

EMV (awalnya Europay, Mastercard, Visa) adalah badan teknis yang bekerja dengan pemangku kepentingan pembayaran untuk menciptakan standar dan teknologi pembayaran yang dapat dioperasikan. Salah satu contoh standar adalah untuk kartu chip/contactless dan terminal pembayaran yang berinteraksi dengan mereka, termasuk kriptografi yang digunakan. Derivasi kunci EMV mengacu pada metode menghasilkan kunci unik untuk setiap kartu pembayaran berdasarkan set kunci awal seperti IMK

HSM

Modul Keamanan Perangkat Keras (HSM) adalah perangkat fisik yang melindungi operasi kriptografi (misalnya, enkripsi, dekripsi, dan tanda tangan digital) serta kunci yang mendasari yang digunakan untuk operasi ini.

KCV

Key Check Value (KCV) mengacu pada berbagai metode checksum primer yang digunakan untuk membandingkan kunci satu sama lain tanpa memiliki akses ke materi kunci yang sebenarnya. KCV juga telah digunakan untuk validasi integritas (terutama ketika bertukar kunci), meskipun peran ini sekarang disertakan sebagai bagian dari format blok kunci seperti. TR-31 Untuk kunci TDES, KCV dihitung dengan mengenkripsi 8 byte, masing-masing dengan nilai nol, dengan kunci yang akan diperiksa dan mempertahankan 3 byte urutan tertinggi dari hasil terenkripsi. Untuk kunci AES, KCV dihitung menggunakan algoritma CMAC di mana data input adalah 16 byte nol dan mempertahankan 3 byte urutan tertinggi dari hasil terenkripsi.

KDH

Key Distribution Host (KDH) adalah perangkat atau sistem yang mengirim kunci dalam proses pertukaran kunci seperti TR-34. Saat mengirim kunci dari Kriptografi AWS Pembayaran, itu dianggap sebagai KDH.

KIF

Fasilitas Injeksi Kunci (KIF) adalah fasilitas aman yang digunakan untuk menginisialisasi terminal pembayaran termasuk memuatnya dengan kunci enkripsi.

KRD

Perangkat Penerima Kunci (KRD) adalah perangkat yang menerima kunci dalam proses pertukaran kunci seperti TR-34. Saat mengirim kunci ke Kriptografi AWS Pembayaran, itu dianggap sebagai KRD.

KSN

Key Serial Number (KSN) adalah nilai yang digunakan sebagai masukan untuk enkripsi/dekripsi DUKPT untuk membuat kunci enkripsi unik per transaksi. KSN biasanya terdiri dari pengenal BDK, ID terminal semi-unik serta penghitung transaksi yang meningkat pada setiap transisi yang diproses pada terminal pembayaran tertentu.

mPoC

mPoC (Mobile Point of Sale on Commercial hardware) adalah standar PCI yang membahas persyaratan keamanan untuk solusi yang memungkinkan pedagang menerima PIN pemegang kartu atau pembayaran nirkontak menggunakan smartphone atau perangkat seluler komersial (COTS) lainnya. off-the-shelf

PANCI

Nomor Akun Utama (PAN) adalah pengenal unik untuk akun seperti kartu kredit atau debit. Biasanya panjangnya 13-19 digit. 6-8 digit pertama mengidentifikasi jaringan dan bank penerbit.

Blok PIN

Sebuah blok data yang berisi PIN selama pemrosesan atau transmisi serta elemen data lainnya. Format blok PIN menstandarisasi konten blok PIN dan bagaimana hal itu dapat diproses untuk mengambil PIN. Sebagian besar blok PIN terdiri dari PIN, panjang PIN, dan sering berisi sebagian atau seluruh PAN. AWS Kriptografi Pembayaran mendukung format ISO 9564-1 0, 1, 3 dan 4. Format 4 diperlukan untuk kunci AES. Saat memverifikasi atau menerjemahkan PIN, ada kebutuhan untuk menentukan blok PIN dari data yang masuk atau keluar.

POI

Point of Interaction (POI), juga sering digunakan secara sinonim dengan Point of Sale (POS), adalah perangkat keras yang berinteraksi dengan pemegang kartu untuk menunjukkan kredensi pembayaran mereka. Contoh POI adalah terminal fisik di lokasi pedagang. Untuk daftar terminal PCI PTS POI bersertifikat, lihat situs web PCI.

PSN

PAN Sequence Number (PSN) adalah nilai numerik yang digunakan untuk membedakan beberapa kartu yang dikeluarkan dengan PAN yang sama.

Kunci publik

Ketika menggunakan asymmetric ciphers (RSA), public key adalah komponen publik dari public-private key pair. Kunci publik dapat dibagi dan didistribusikan ke entitas yang perlu mengenkripsi data untuk pemilik pasangan kunci publik-privat. Untuk operasi tanda tangan digital, pasangan kunci publik digunakan untuk memverifikasi tanda tangan.

Kunci privat

Bila menggunakan asymmetric ciphers (RSA), private key adalah komponen privat dari public-private key pair. Kunci privat digunakan untuk mendekripsi data atau membuat tanda tangan digital. Mirip dengan kunci Kriptografi AWS Pembayaran simetris, kunci pribadi dibuat dengan aman oleh HSM. Mereka didekripsi hanya ke dalam memori volatile HSM dan hanya untuk waktu yang diperlukan untuk memproses permintaan kriptografi Anda.

PVV

Nilai verifikasi PIN (PVV) adalah jenis output kriptografi yang dapat digunakan untuk memverifikasi pin tanpa menyimpan pin yang sebenarnya. Meskipun merupakan istilah umum, dalam konteks Kriptografi AWS Pembayaran, PVV mengacu pada metode PVV Visa atau ABA. PVV ini adalah nomor empat digit yang inputnya adalah nomor kartu, nomor urut pan, pan itu sendiri dan kunci verifikasi PIN. Selama tahap validasi, Kriptografi AWS Pembayaran secara internal membuat ulang PVV menggunakan data transaksi dan membandingkannya lagi nilai yang telah disimpan oleh pelanggan Kriptografi Pembayaran. AWS Dengan cara ini, secara konseptual mirip dengan hash kriptografi atau MAC.

Bungkus/Buka RSA

RSA wrap menggunakan kunci asimetris untuk membungkus kunci simetris (seperti kunci TDES) untuk transmisi ke sistem lain. Hanya sistem dengan kunci pribadi yang cocok yang dapat mendekripsi muatan dan memuat kunci simetris. Sebaliknya, RSA membuka, akan mendekripsi kunci yang dienkripsi dengan aman menggunakan RSA dan kemudian memuat kunci ke dalam Kriptografi Pembayaran. AWS RSA wrap adalah metode pertukaran kunci tingkat rendah dan tidak mengirimkan kunci dalam format blok kunci dan tidak menggunakan penandatanganan payload oleh pihak pengirim. Kontrol alternatif harus dipertimbangkan untuk memastikan pemeliharaan dan atribut kunci tidak bermutasi.

TR-34 juga menggunakan RSA secara internal, tetapi merupakan format terpisah dan tidak dapat dioperasikan.

TR-31

TR-31 (secara formal didefinisikan sebagai ANSI X9 TR 31) adalah format blok kunci yang didefinisikan oleh American National Standards Institute (ANSI) untuk mendukung mendefinisikan atribut kunci dalam struktur data yang sama dengan data kunci itu sendiri. Format blok kunci TR-31 mendefinisikan satu set atribut kunci yang terikat ke kunci sehingga mereka disatukan. AWS Kriptografi Pembayaran menggunakan persyaratan standar TR-31 bila memungkinkan untuk memastikan pemisahan kunci yang tepat dan tujuan utama. TR-31 telah digantikan oleh ANSI X9.143-2022.

TR-34

TR-34 adalah implementasi ANSI X9.24-2 yang menggambarkan protokol untuk mendistribusikan kunci simetris dengan aman (seperti 3DES dan AES) menggunakan teknik asimetris (seperti RSA). AWS Kriptografi Pembayaran menggunakan metode TR-34 untuk mengizinkan impor dan ekspor kunci yang aman.