Zahlungsverkehr Kryptographische Verfahren Key Block Eigenschaften gemäß der Anforderungen von PCI durch DK Verfahren erfüllt

Key Block Eigenschaften gemäß der Anforderungen von PCI durch DK Verfahren erfüllt

Im Falle der Akzeptanz internationaler Karten an den Akzeptanzstellen der Deutschen Kreditwirtschaft (z. B. Geldautomaten) sind unter anderem Sicherheitsanforderungen der Payment Card Industry von den jeweiligen Betreibern zu erfüllen. Zu diesen Sicherheitsanforderungen zählen auch die „PIN Security Requirements and Testing Procedures“ in denen u.a. gefordert wird, dass beim Management kryptographischer Schlüssel, eine unautorisierte Verwendung erkannt bzw. verhindert wird. 

In diesen PCI Sicherheitskriterien wird insbesondere gefordert, dass 

  • “Encrypted symmetric keys must be managed in structures called key blocks. The key usage must be cryptographically bound to the key using accepted methods. Acceptable methods of implementing the integrity requirements include, but are not limited to:
  • A MAC computed over the concatenation of the clear-text attributes and the enciphered portion of the key block, which includes the key itself, e.g., TR-31.”

Die Deutsche Kreditwirtschaft hat für ihre Kartenzahlungsverfahren bzgl. des Schlüsselmanagements u.a. Spezifikationen für die sichere elektronische Übertragung sowie dem Management von kryptographischen Schlüsseln in Terminals erstellt. Im Falle der Verwendung des AES als kryptographisches Sicherungsverfahren verwendet die Deutsche Kreditwirtschaft für das Key Management den Standard TR-31. Bis zum Abschluss der Migration auf AES wird an einigen Stellen noch Triple-DES als kryptographisches Verfahren zum Key Management verwendet. Für dieses Legacy-Verfahren hat die Deutsche Kreditwirtschaft eine Sicherheitsuntersuchung von Herrn Prof. Dr. Ernst-Günter Giessmann von der Humboldt Universität Berlin, erstellen lassen, welche das Ziel hatte, zu prüfen, ob die von der Deutschen Kreditwirtschaft genutzten Verfahren den Anforderungen der PCI PIN Security entsprechen. 

Das von Herrn Prof. Giessmann erstellte Gutachten kommt zu dem Ergebnis, dass „der Schutz der Schlüsseldaten gegen Verfälschung und Kompromittierung durch die verwendeten Algorithmen Triple-DES und Retail-MAC gewährleistet ist. Der kryptographische Schutz der Nachrichten durch abgeleitete Schlüssel und die dafür eingesetzten Algorithmen sind äquivalent zu dem im ANSI-Standard X 9.143 beschriebenen Verfahren.“ 

Herr Prof. Giessmann empfiehlt unabhängig von diesem Ergebnis die Migration auf stärkere Algorithmen. Der Migrationsprozess in der Deutschen Kreditwirtschaft hat begonnen und wird unvermindert fortgeführt.

Das Gutachten von Herrn Prof. Giessmann ist hier veröffentlicht.
 

Teilen

Dokumente und Links

Verwendung von Cookies

Wir nutzen Cookies und verschiedene Analyse-Tools, um diese Webseite für Sie optimal zu gestalten und weiter optimieren zu können. Ausführliche Informationen finden Sie in der Datenschutzerklärung. Bitte klicken Sie auf „Ich stimme zu“, damit wir diese Werkzeuge weiterhin nutzen dürfen. Nicht alle Cookies sind notwendig für die Verwendung der Website. Sie können diese optionalen Cookies selbst ausschalten, bevor Sie unsere Seite besuchen.

Ich stimme zu Auswahl anpassen nur technische Cookies akzeptieren
Impressum Datenschutzerklärung

Erlaubte Cookies anpassen

Diese Cookies werden für die Grundfunktionen und zur Sicherheit der Website benötigt. Sie können deshalb nicht abgewählt werden.

Diese Cookies erlauben uns, die Nutzung der Website zu analysieren. So können wir unsere Seite immer weiter verbessern.

Sogenannte Marketing- oder Ziel-Cookies werden eingesetzt, um interessengerechte Werbung zu zeigen. Beim surfen werden die Cookies erkannt und auf anderen Webseiten werden Ihnen Anzeigen auf Basis der in diesen Cookies gespeicherten Informationen angezeigt.

Wir integrieren redaktionelle Inhalte Dritter - zum Beispiel Videoplattformen oder Soziale Netzwerke - über iframes oder embeds in unserer Webseite. Diese externen Dienste können unter Umständen Ihre Daten zur Analyse Ihres Onlineverhaltens nutzen, wenn Ihnen ein entsprechenden Inhalt auf unserer Seite angezeigt wird. Wir haben keinen Einfluss darauf, ob und wie die Drittanbieter Ihre Daten nutzen.

Auswahl speichern
Impressum Datenschutzerklärung

Cookie Einstellungen