我们可以利用通用 HSM 进行 EMV 相关工作吗?像ARQC/ARPC? PCI 指南并未明确禁止使用通用 HSM。有某些限制(例如不允许将 ISO 类型 0 转换为类型 1)等。
但我总体很好奇 - 有没有人通过使用通用 HSM 的 EMV 交换机认证?
这就是我认为这是可能的原因: ISO 9564 和 TR-31 标准规定了一些常见的事情,例如
b) 必须防止确定可变长度的密钥长度 键。 c) 必须保证密钥只能用于特定的用途 算法(例如 TDES 或 AES,但不能同时使用两者)。 d) 必须确保修改后的密钥或密钥块在使用前可以被拒绝,无论修改后密钥的效用如何。修改包括更改密钥的任何位,以及重新排序或操作 TDES 密钥块中的单个 DES 密钥
在即将出台的 TR-31 法规中,我发现 AWS KMS 使用 EncryptionContext 和 Policy Constraints
等内容在“静态完整性检查”方面符合要求所以我通常想知道是什么阻止我们使用 KMS 来实现此目的?
对于 ARQC/ARPC 验证、PINBLOCK 传输、CVV 验证/生成和 PIN 身份验证,必须使用支付 HSM,例如 Thales payShield 9k,在云中有 MyHSM 选项或 AWS 最近发布了 AWS Payment Cryptogrhapy 服务。您可以使用通用 HSM 来遵守 PCI DSS,但仅限于加密/解密数据。