Uso de blocos de chaves

Exploramos neste artigo o requisito de uso de blocos de chaves, apresentado no PIN Secutiry Requirements Versão 3.1.

PIN Security Requirements e uso de blocos de chaves

O PIN Security Requirements:

  • Identifica os requisitos mínimos de segurança para transações de intercâmbio baseadas em PIN .
  • Descreve os requisitos mínimos aceitáveis para proteger PINs e chaves de criptografia.
  • Auxilia todos os participantes do sistema de pagamento eletrônico de varejo a estabelecer garantias de que as senhas do titular do cartão não serão comprometidas.

O item 18-3 do Objetivo de Controle 5 do documento PIN Security Requirements versão 3.1, define:

“As chaves simétricas criptografadas devem ser gerenciadas em estruturas chamadas de blocos de chaves. O uso da chave deve ser vinculado criptograficamente à chave usando métodos aceitos.”

PIN Security Requirements versão 3.1

Segundo o documento, “os métodos aceitos ​para a implementação dos requisitos de integridade incluem, mas não se limitam a:

  • Um MAC calculado sobre a concatenação dos atributos de texto não criptografado e a parte criptografada do bloco de chave, que inclui a própria chave, por exemplo, TR-31.
  • Uma assinatura digital calculada sobre os mesmos dados, por exemplo, TR-34
  • Uma verificação de integridade que é uma parte implícita do processo de criptografia de chave, como a que é usada no processo de agrupamento de chave AES especificado em ANSI X9.102.”

Em resposta a dúvidas apontadas em julho de 2017, o PCI esclarece sobre o uso de Blocos de Chaves:

Pergunta: Métodos interoperáveis ​​incluem aqueles definidos em ANSI TR-31 e ISO 20038. O requisito também permite qualquer método equivalente pelo qual o método equivalente inclui a ligação criptográfica das informações de uso da chave ao valor da chave usando métodos aceitos. Como são determinados os métodos equivalentes?

Resposta: Os métodos equivalentes devem ser sujeitas a uma revisão de um perito independente.

A revisão devem contemplar:

  • A inclusão de prova de que no método equivalente à chave criptografada e seus atributos no Bloco de Chave têm proteção de integridade de tal forma que é computacionalmente inviável para a chave a ser usada se a chave ou seus atributos foram modificado. 
  • A adequada qualificação do especialista, por meio de uma combinação de educação, treinamento e experiência em criptologia para fornecer avaliações técnicas objetivas que são independentes de quaisquer laços com fornecedores e interesses especiais. 
  • A validação se todos os fornecedores de dispositivos implementaram esta metodologia seguindo todas as diretrizes da referida avaliação e revisão por pares, incluindo quaisquer recomendações para gerenciamento de chaves associadas.

As datas originais foram reprogramadas e estão assim definidas:

Implementar blocos de chaves para conexões internas e armazenamento de chaves em ambientes de provedores de serviços.

Esta fase já se encerrou em 1 de junho de junho de 2019.

Implementar Blocos de Chaves para conexões externas com Bandeiras e Redes

Data de vigência: 1º de janeiro de 2023.

Implementar Bloco de Chaves para se estender a todos os hosts de comerciantes, dispositivos de ponto de venda (POS) e caixas eletrônicos.

Data de vigência: 1º de janeiro de 2025.

Segundo o PCI, o provedor de serviços deve implementar blocos de chaves para todas as organizações externas que oferecem suporte a blocos de chaves dentro do prazo. 

Durante a certificação, o avaliador deve validar se o provedor de serviços é capaz de iimplemenar Blocos de Chaves para os seus parceiros. Os Blocos de Chaves para tratamento do PIN deve ser implantada tão logo o parceiro seja apoio a operar desta forma.

Além disso, o avaliador deve anotar no relatório PSR quais as organizações possuem suporte para  blocos de chaves implementado e quais as organizações para as quais o provedor de serviços ainda não implementou este suporte.

Veja também:

Pin Security Requirements – Parte 4 – Uso

1 Comentário

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para o topo