Для шифрования пин-блока (вычисления мак) пинпаду подается рабочий ключ. Внутри пинпада хранится мастер ключ, с помощью которого этот рабочий ключ был когда-то зашифрован. С помощью мастер-ключа расшифровывается рабочий ключ и на результате шифруется пин-блок. Шифрованные на мастер ключе рабочие ключи хранятся и пересылаются без особых требований безопасности (практически открыто). Меняются хоть через каждую транзакцию.
Мастер ключи хранятся в пинпаде, достать их оттуда нельзя. Но их иногда тоже нужно обновлять. Для обновления в пинпад засылается новый мастер ключ, шифрованный на KLK. KLK ключ хранится в пинпаде, с помощью него пинпад расшифровывает мастер ключ. Таким образом шифрованный на KLK мастер ключ можно посылать для обновления с пакетом.
А вот KLK ключ забивается в пинпад и так просто В ОБЩЕМ СЛУЧАЕ не меняется. Хотя может быть построена иерархия KLK ключей, когда новый KLK ключ зашифровывается на предыдущем, посылается для обновления, пинпад расшифровывает новый KLK и делает его текущим.
Таким образом, мастер ключи шифруются с помощью KLK, рабочие ключи с помощью мастер, а пин с помощью рабочего.
Мастер ключи хранятся в пинпаде, достать их оттуда нельзя. Но их иногда тоже нужно обновлять. Для обновления в пинпад засылается новый мастер ключ, шифрованный на KLK. KLK ключ хранится в пинпаде, с помощью него пинпад расшифровывает мастер ключ. Таким образом шифрованный на KLK мастер ключ можно посылать для обновления с пакетом.
А вот KLK ключ забивается в пинпад и так просто В ОБЩЕМ СЛУЧАЕ не меняется. Хотя может быть построена иерархия KLK ключей, когда новый KLK ключ зашифровывается на предыдущем, посылается для обновления, пинпад расшифровывает новый KLK и делает его текущим.
Таким образом, мастер ключи шифруются с помощью KLK, рабочие ключи с помощью мастер, а пин с помощью рабочего.
Комментариев нет:
Отправить комментарий