Exploramos neste artigo o requisito de uso de blocos de chaves, apresentado no PIN Secutiry Requirements Versão 3.1.
O PIN Security Requirements:
- Identifica os requisitos mínimos de segurança para transações de intercâmbio baseadas em PIN .
- Descreve os requisitos mínimos aceitáveis para proteger PINs e chaves de criptografia.
- Auxilia todos os participantes do sistema de pagamento eletrônico de varejo a estabelecer garantias de que as senhas do titular do cartão não serão comprometidas.
O item 18-3 do Objetivo de Controle 5 do documento PIN Security Requirements versão 3.1, define:
“As chaves simétricas criptografadas devem ser gerenciadas em estruturas chamadas de blocos de chaves. O uso da chave deve ser vinculado criptograficamente à chave usando métodos aceitos.”
PIN Security Requirements versão 3.1
TR-31 e blocos de chaves
Segundo o documento, “os métodos aceitos para a implementação dos requisitos de integridade incluem, mas não se limitam a:
- Um MAC calculado sobre a concatenação dos atributos de texto não criptografado e a parte criptografada do bloco de chave, que inclui a própria chave, por exemplo, TR-31.
- Uma assinatura digital calculada sobre os mesmos dados, por exemplo, TR-34
- Uma verificação de integridade que é uma parte implícita do processo de criptografia de chave, como a que é usada no processo de agrupamento de chave AES especificado em ANSI X9.102.”
Em resposta a dúvidas apontadas em julho de 2017, o PCI esclarece sobre o uso de Blocos de Chaves:
Pergunta: Métodos interoperáveis incluem aqueles definidos em ANSI TR-31 e ISO 20038. O requisito também permite qualquer método equivalente pelo qual o método equivalente inclui a ligação criptográfica das informações de uso da chave ao valor da chave usando métodos aceitos. Como são determinados os métodos equivalentes?
Resposta: Os métodos equivalentes devem ser sujeitas a uma revisão de um perito independente.
A revisão devem contemplar:
- A inclusão de prova de que no método equivalente à chave criptografada e seus atributos no Bloco de Chave têm proteção de integridade de tal forma que é computacionalmente inviável para a chave a ser usada se a chave ou seus atributos foram modificado.
- A adequada qualificação do especialista, por meio de uma combinação de educação, treinamento e experiência em criptologia para fornecer avaliações técnicas objetivas que são independentes de quaisquer laços com fornecedores e interesses especiais.
- A validação se todos os fornecedores de dispositivos implementaram esta metodologia seguindo todas as diretrizes da referida avaliação e revisão por pares, incluindo quaisquer recomendações para gerenciamento de chaves associadas.
Quais são as datas de implantação dos blocos de chaves?
As datas originais foram reprogramadas e estão assim definidas:
Fase 1
Implementar blocos de chaves para conexões internas e armazenamento de chaves em ambientes de provedores de serviços.
Esta fase já se encerrou em 1 de junho de junho de 2019.
Fase 2
Implementar Blocos de Chaves para conexões externas com Bandeiras e Redes
Data de vigência: 1º de janeiro de 2023.
Fase 3
Implementar Bloco de Chaves para se estender a todos os hosts de comerciantes, dispositivos de ponto de venda (POS) e caixas eletrônicos.
Data de vigência: 1º de janeiro de 2025.
Qual a ação de um provedor de serviços se algum de seus clientes/parceiros não suportar blocos de chaves?
Segundo o PCI, o provedor de serviços deve implementar blocos de chaves para todas as organizações externas que oferecem suporte a blocos de chaves dentro do prazo.
Durante a certificação, o avaliador deve validar se o provedor de serviços é capaz de iimplemenar Blocos de Chaves para os seus parceiros. Os Blocos de Chaves para tratamento do PIN deve ser implantada tão logo o parceiro seja apoio a operar desta forma.
Além disso, o avaliador deve anotar no relatório PSR quais as organizações possuem suporte para blocos de chaves implementado e quais as organizações para as quais o provedor de serviços ainda não implementou este suporte.
Veja também: