EPP-PCI認證相關(guān)介紹

第第#頁EPP_PCI認證相關(guān)知識介紹V1.00陡圈廣恫御銀科技股悄有眼公司banw"歸GuangzhouKimgTellerTechnologyCo.,Ltd.

修訂歷史：版本號日期作者修改內(nèi)容1.02013-08-14陳琳目錄TOC\o"1-5"\h\z1、PCISSC42、PCI認證4PCI認證是什么4PCI認證流程53、EPP的PCI認證5EPP設(shè)備特性安全要求6EPP設(shè)備管理安全要求74、TDEA加密算法概述8DES加密算法8TDEA95、RSA加密算法概述91、PCISSCPCISSC(PaymentCardIndustrySecurityStandardsCouncil)支付卡行業(yè)安全標準委員會，是由美國運通(AmericanExpress)、美國發(fā)現(xiàn)金融服務(wù)(DiscoverFinancialServices)、JCB、萬事達(MasterCardWorldwide)和VISA國際組織五家支付品牌在2006年秋共同籌辦設(shè)立的統(tǒng)一且專業(yè)的信息安全標準委員會。PCI認證標準是支付卡行業(yè)安全認證最高標準。2006年之前，該標準為VISA認證，2006年后，世界5大支付機構(gòu)(AmericanExpress,DiscoverFinancialServices,JCBInternational,MasterCardWorldwide,andVisaIn)聯(lián)名成立了PCI安全委員會，主要負責(zé)數(shù)據(jù)安全標準、支付應(yīng)用數(shù)據(jù)安全標準及密碼傳輸安全標準的制定等工作。PCI安全標準委員會(PCISSC)的最高級別的執(zhí)行委員會(ExecutiveCommittee)是由上述五家支付卡品牌中負責(zé)風(fēng)險管理或相關(guān)服務(wù)技術(shù)的副總裁組成。執(zhí)行委員會下設(shè)管理委員會(ManagementCommittee)，也由五家支付卡品牌的相關(guān)負責(zé)人組成，負責(zé)該安全標委會的重大決策。委員會設(shè)有總經(jīng)理(GeneralManager)，并設(shè)立專門的DSS(資料安全標準)工作組、PED(密碼輸入設(shè)備)工作組、QSA(合格安全性評估機構(gòu))體系管理、ASV(授權(quán)掃描機構(gòu))體系管理、PA(支付應(yīng)用程式)體系管理等部門，分別負責(zé)各自領(lǐng)域的標準開發(fā)和體系維護等技術(shù)工作，此外還設(shè)有市場工作組和立法委員會。其相關(guān)的文檔資料或標準文檔如《PCIDSS》、《PCIPA-DSS》等均可在PCI安全標準委員會的官網(wǎng)上查詢和下載，網(wǎng)址為/。PCIDSS—PCIDataSecurityStandard支付卡行業(yè)資料安全標準PCIPA-DSS—PCIPaymentApplicationDataSecurityStandard支付卡行業(yè)支付應(yīng)用程式資料安全標準PCI安全標準委員會嚴格的維護了授權(quán)掃描機構(gòu)(ASV：ApprovedScanningVendors)和合格安全性評估機構(gòu)(QSA：QualifiedSecurityAssessors)的授權(quán)評估體系，面向收單銀行、商戶、服務(wù)提供商等支付產(chǎn)業(yè)相關(guān)機構(gòu)提供安全掃描和評估服務(wù)，并出具符合性報告。所有的ASV和QSA都需要經(jīng)過嚴格審核后才能得到授權(quán)，并要進行每年一度的重新審核;QSA的相關(guān)全職評估人員需要參加PCISSC組織的資格培訓(xùn)和考核，并也要進行每年一次的重新資格培訓(xùn)。2、PCI認證PCI認證是什么所謂的PCI認證就是對相關(guān)的設(shè)備、產(chǎn)品等按照對應(yīng)的PCI標準進行審查、審核的過程。PCI認證分PCI1.X(1.0/1.1/1.2)；PCI2.X(2.1)(多了移機自毀功能，安全性能更高，2011年3月停止接受2.x認證)；PCI3.0(目前最高，2011年3月公布認證標準)。通過認證的產(chǎn)品PCISSC會給它出具一份通過了PCI認證證書，并且會把通過了PCI認證的相關(guān)廠家產(chǎn)品名單公布在PCISSC官網(wǎng)上。PCI認證是目前全球最嚴格、級別最高的金融機構(gòu)安全認證標準。一般情況下由PCI安全標準委員會授權(quán)的公司才有資質(zhì)進行PCI認證。至于那些公司被授權(quán)可以進行PCI認證可以在PCI官網(wǎng)查詢，對于不同的設(shè)備的安全要求不同，也有著不同的授權(quán)認證公司。PCI認證流程PCI認證流程與EMV的認證流程基本相似，如下圖所示:供應(yīng)商希望獲得pci認證下載相關(guān)資料評估報告合格簽署和返回發(fā)布協(xié)議和保密協(xié)議選擇評審實驗室并簽訂相關(guān)協(xié)議發(fā)送評估報告?zhèn)浞萁oPCISSC向?qū)嶒炇姨峤煌暾臏y試設(shè)備和所有的相關(guān)說明文檔-PCISSC記錄和復(fù)審評估報告或復(fù)審附加信息——實驗室對設(shè)備進行評估并制作評

估報告測試結(jié)果符合

要求？發(fā)布評估報告PCISSC出具認證證書并公布到網(wǎng)站3、EPP的PCI認證PCI_EPP(PCI加密鍵盤)意指經(jīng)過PCI安全委員會指定實驗室檢測，有PCI安全委員會認證并頒發(fā)證書的加密鍵盤。其加密方式可以為DES/TRIDES,RSA等國際加密標準。PCI組織要求從2005年10月起，新POS機的PED(密碼輸入設(shè)備)必須通過產(chǎn)品安全認證；從2010年7月起，在網(wǎng)絡(luò)中使用的全部PIN輸入設(shè)備必須通過認證。同時，PCI組織委托第三方檢測實驗室對終端PIN輸入設(shè)備產(chǎn)品進行檢測，目前已授權(quán)了8家實驗室對PIN輸入設(shè)備進行測試。這些實驗室包括：(1)加拿大EWA—CanadaLimited；(2)加拿大DOMUSITSecurityLaboratory；(3)美國InfoGardLaboratories，Inc.；(4)英國RFIGlobalServicesLtd.；(5)德國SRCSecurityResearch&ConsultingGmbH；(6)德國T-SystemsITCSecurity；(7)荷蘭Brightsight；(8)澳大利亞WithamLaboratories。PCI認證分PCI1.X(1.0/1.1/1.2)；PCI2.X(2.1)(多了移機自毀功能，安全性能更高，2011年3月停止接受2.x認證)；PCI3.0(目前最高，2011年3月公布認證標準)。PCI標準從“設(shè)備特性”和“設(shè)備管理”兩個大的方面對EPP的安全要求做出了規(guī)定,如下圖：-物理特性-1A1設(shè)備特性-安全要求—A8安全要求—-邏輯特性B1EPP的PCI一1安全要求B15安全要求—-設(shè)備生產(chǎn)-1C1設(shè)備管理-安全要求—C6安全要求—-設(shè)備生產(chǎn)與初-FD1始密鑰加載之間安全有要求D3

EPP設(shè)備特性安全要求設(shè)備特性就是指EPP的物理屬性和邏輯（功能）屬性。物理安全特性就是防止對設(shè)備進行的物理攻擊。邏輯安全特性就是防止功能能力的問題，例如設(shè)備允許輸出明文密碼加密密鑰。3.1.1物理安全要求所有EPP必須滿足下表所示的物理要求。A1供應(yīng)商必須符合A1的所有要求。A1.1EPP應(yīng)具備攻擊偵測和防攻擊機制，保證EPP受到攻擊時立即進入不可操作狀態(tài)，并自動直接擦除EPP中存放的秘密信息。這些機制可以使設(shè)備抵御如下物理攻擊手段（包含但不限于）：鉆空、激光、化學(xué)熔劑、焊接方式開蓋、通過外殼利用通風(fēng)口、及沒有任何預(yù)料方式去失效或廢棄機械裝置，插入探頭泄露信息或獲得訪問敏感信息，每個EPP至少能承受25次以上攻擊。A1.2EPP是基于至少兩個獨立的安全機制組成,EPP的單個安全機械裝置失效不會危及EPP安全A2如果允許訪問到EPP內(nèi)部區(qū)域（如服務(wù)或維護），那么是不可能在該區(qū)域來插入泄露PIN的“bug”。直接訪問敏感數(shù)據(jù)如PIN或秘密數(shù)據(jù)，EPP內(nèi)部設(shè)計（如四周帶有反攻擊/抗攻擊的封套結(jié)構(gòu)）可以防止訪問到內(nèi)部區(qū)域，或具有一種機制在訪問到敏感數(shù)據(jù)時會導(dǎo)致立即擦除敏感數(shù)據(jù)。A3EPP的安全性不能因為以下改變而減弱：環(huán)境條件運行條件（例如，將EPP置于標準工作溫度或標準工作電壓范圍以外的條件下）A4敏感功能和信息只能在EPP內(nèi)的保護區(qū)域存放，而且這些敏感信息至少能夠承受25次的潛在攻擊而不會被改變。A5如果PIN輸入時伴隨有聲音提示，那么對于每一個輸入的密碼數(shù)值必須在音調(diào)上是不可區(qū)分的。A6不存在可行的通過外部特征確定輸入密碼數(shù)字的方法，如通過檢測聲音，電磁輻射，電源功耗或其它任何外部特征均不能探測到輸入的PIN數(shù)字，每個EPP至少能承受25次類似的攻擊。A7通過滲透EPP或監(jiān)控EPP的輸出（包括功率波動）等方法而確定存放在EPP內(nèi)部的PIN安全相關(guān)的密鑰，對于類似攻擊每個EPP至少能夠承受35次攻擊。A8EPP具備非法拆除保護功能，企圖攻破或繞過這種保護機制時至少要在每個EPP上花費16次這樣的攻擊。

3.1.2邏輯安全要求所有EPP必須符合以下邏輯要求。B1EPP必須開機自檢，并且每天至少進行一次固件、防攻擊的安全機制和EPP是否處于被攻擊狀態(tài)的檢查，即使自檢失敗也不會影響EPP的安全功能。B2EPP不會再受到邏輯異常影響時而輸出EPP的明文或其他敏感信息，這些異常數(shù)據(jù)包括（但不僅限于）以外的命令、不可知的命令、錯誤設(shè)備模式下的命令和錯誤的參數(shù)。B3EPP對固件F/W的任何改動，都必須通過合法的檢測機構(gòu)的檢測和評審，以保證固件中沒有隱含非法的功能。B4如果EPP允許升級固件，那么設(shè)備必須通過加密機制驗證固件的真實性和完整性，負責(zé)就停止和取消更新。B5EPP絕不向外部其他部件（如顯示器和控制設(shè)備）輸出信息，允許無意義的PIN數(shù)字輸入。B6敏感信息將不會比嚴格需要的時間更長出現(xiàn)或頻繁使用。聯(lián)機密碼在持卡人將密碼完整的輸入到EPP后就必須立即由EPP進行加密。以下情況EPP必須自動清除其內(nèi)部的緩存區(qū)在：交易完成時等待持卡人或商人響應(yīng)超時時B7訪問敏感服務(wù)時需要身份驗證。敏感服務(wù)提供訪問潛在的敏感功能，該功能提供敏感數(shù)據(jù)如密鑰、密碼和關(guān)鍵字。進入或退出敏感服務(wù)應(yīng)不會泄露敏感信息。B8減少非法使用敏感服務(wù)的危險，必須對服務(wù)行為的次數(shù)及時間進行限制，若超出服務(wù)范圍EPP將被迫退出服務(wù)，并返回到正常模式。B9如果EPP的一些安全敏感數(shù)字式隨機生成的，那么必須對EPP中的隨機數(shù)產(chǎn)生器進行評估，以確保其生成的隨機數(shù)是不可預(yù)知的。B10EPP具有防止或極大地阻止利用設(shè)備偷取PIN確認的特性。B11在EPP中米用的密鑰管理技術(shù)必須遵循ISO11568標準和/或ANSIX9.24標準。B12在EPP中米用的PIN加密技術(shù)必須遵循ISO9564標準。（TDEA和RSA兩種加密算法）B13在EPP中獨立使用PIN加密密鑰或密鑰加密密鑰，加密或解密其它任意的數(shù)據(jù)是不可行的。EPP必須確保數(shù)據(jù)密鑰、密鑰加密密鑰和PIN加密密鑰不能相同。B14在EPP中的機制保證不允許輸出私鑰，秘密明文密鑰及PIN；不允許用已經(jīng)泄露的密鑰去加密其它密鑰或PIN；不允許把密鑰明文從高安全的組件轉(zhuǎn)移到低安全的組件中。B15如果EPP可以保存多個PIN加密密鑰，并且能夠在外面選擇，那么EPP禁止密鑰非法替換和密鑰誤用。EPP設(shè)備管理安全要求設(shè)備管理就是指考慮EPP要怎樣生產(chǎn)、受控、運輸、存儲和使用。如果設(shè)備不被生產(chǎn)商管理，那么在以上工程中就有可能會出現(xiàn)對EPP的物理安全特性或邏輯安全特性作出非法改動。

3.2.1生產(chǎn)期間設(shè)備的安全管理要求C1在設(shè)備生產(chǎn)過程中使用合理的變更控制機制，保證當EPP的任何物理或功能的需要改變時，設(shè)備應(yīng)該按照本指南的物理安全要求或邏輯安全要求進行重新評估。C2對通過評估過的固件F/W要合理地保護和存儲，以防止非法修改。例如采用雙重控制或密碼驗證保護固件。C3在生產(chǎn)過程中用于組裝EPP的組件，必須經(jīng)過物理安全要求的評估，并且確保這些組件沒有被非法替代。C4下載到設(shè)備的生產(chǎn)軟件在運輸、儲存和使用時，必須遵循雙重控制的原則，以防止對軟件非法修改和替代。C5在產(chǎn)品生產(chǎn)完成后且在出廠之前,EPP和其任何組件都應(yīng)存放在受保護的、受訪問控制的區(qū)域，或?qū)PP封裝在防攻擊的包裝中，以防止非法接觸EPP或其組件。C6如果要用下載密鑰的方法對EPP進行驗證，意味著要在生產(chǎn)期間裝入秘密信息，那么該秘密信息對應(yīng)每個EPP是唯一的，任何人都是不可知和不可預(yù)測該信息，并且該信息在雙重控制下安裝到EPP中，以確保在安裝期間不會泄露。3.2.2初始密鑰注入之前設(shè)備的安全管理要求D1EPP從制造商工廠到初次密鑰下載方的運送途中的儲存過程都要嚴格控制,以便及時確定EPP在途中的地點。D2有合理的程序把設(shè)備（EPP）負責(zé)從制造商遞交給初始密鑰下載方。D3設(shè)備EPP從制造商移交到初始密鑰下載方的過程中，應(yīng)該具備條件：a必須使用防拆包裝進行儲存和運輸；b如果EPP在儲存和運輸時存有秘密信息，那么當試圖對設(shè)備做任何物理和功能改變時，EPP中的秘密信息立即自毀。初始密鑰下載方可以驗證秘密信息完整性，但未經(jīng)授權(quán)的個人無法獲取該秘密信息。4、TDEA加密算法概述DES加密算法（1）算法簡解DES算法為密碼體制中的對稱密碼體制，又被成為美國數(shù)據(jù)加密標準，是1972年美國IBM公司研制的對稱密碼體制加密算法。明文按64位進行分組，密鑰長64位，密鑰事實上是56位參與DES運算（第8、16、24、32、40、48、56、64位是校驗位，使得每個密鑰都有奇數(shù)個1）分組后的明文組和56位的密鑰按位替代或交換的方法形成密文組的加密方法。（2）工作的基本原理其入口參數(shù)有三個:key、data、mode。key為加密解密使用的密鑰，data為加密解密的數(shù)據(jù)，mode為其工作模式。當模式為加密模式時，明文按照64位進行分組，形成明文組,key用于對數(shù)據(jù)加密，當模式為解密模式時，key用于對數(shù)據(jù)解密。實際運用中，密鑰只用到了64位中的56位，這樣才具有高的安全性。加密算法特點分組比較短、密鑰太短、密碼生命周期短、運算速度較慢注：對于DES加密算法的具體描述見文檔《DES加密算法詳解》4.2TDEA算法簡解3DES(或稱為TripleDES)是三重數(shù)據(jù)加密算法(TDEA，TripleDataEncryptionAlgorithm)塊密碼的通稱。它相當于是對每個數(shù)據(jù)塊應(yīng)用三次DES加密算法。由于計算機運算能力的增強，原版DES密碼的密鑰長度變得容易被暴力破解；3DES即是設(shè)計用來提供一種相對簡單的方法，即通過增加DES的密鑰長度(168位)來避免類似的攻