Где взять BDK для расшифровки DUKPT

Question

Где взять BDK для расшифровки DUKPT

Я сгенерировал ключ BDK Type3 для DUKPT в Thales HSM. Я отправил этот BDK, который зашифрован с помощью LMK HSM, изготовителю терминала, чтобы сгенерировать ключ IPEK и ввести его в терминал.

Когда я получаю зашифрованные данные, у меня есть KSN, и теперь мне снова нужен BDK для его расшифровки. Я не храню BDK где-либо в моем приложении HOST. Как я могу снова получить BDK для расшифровки. Он хранится где-то в HSM.Если есть несколько BDK, как мне найти подходящий для данного терминала?

0

encryption hsm dukpt

Источник

user8318226 17 июл '17 в 07:55

2 ответа

Другие вопросы по тегам encryption hsm dukpt

user2196561 18 июл '17 в 08:10 2017-07-18 08:10 · Answer 1 · 2017-07-18 08:10

BDK (базовый ключ деривации) должен храниться в HSM, чтобы он был доступен, когда вам нужно расшифровать. Во время дешифрования вы передаете KSN (серийный номер ключа) в качестве ввода в HSM, и HSM затем воссоздает ключ DUKPT, используемый терминалом для шифрования из BDK.

user4237237 26 июл '17 в 23:08 2017-07-26 23:08 · Answer 2 · 2017-07-26 23:08

Для расшифровки данных вы можете использовать команду THALES HSM M2 с параметрами

BDK (под LMK) - это ключ, который вы отправили в терминал
производитель
Зашифрованные данные - полученные от терминала
KSN - получено с терминала

Об обмене BDK (между вами и производителем терминала)

Простой процесс:

обмен ZMK (мастер-ключ зоны) между вами и производителем
зашифровать BDK под ZMK
производитель расшифровывает BDK (используя ZMK) в безопасной среде (комната для ввода ключей)
производитель производит IPEK с использованием прозрачного BDK

Ваш BDK зашифрован под LMK. Другими словами, ваш BDK защищен LMK, поэтому никто другой не сможет использовать свой BDK (суперсекретный ключ). Последовательно, если вы отправляете свой BDK (под LMK), ваш производитель не может использовать BDK (очистить) для генерации IPEK. Вот почему вам нужен ZMK в вашем процессе.