Protege tus claves criptográficas con Keyblocks

¿Qué es Keyblocks?

Con la entrada en vigencia del estándar PCI PIN v2.0 (Payment Card Industry PIN Requirements) en el año 2014, todas las claves simétricas encriptadas deben ser manejadas en estructuras denominadas keyblocks. 

Keyblocks es un formato estándar para proteger la integridad de las claves criptográficas y de asociarlas a un uso en particular de forma inequívoca, y así evitar modificaciones o sustituciones no autorizadas. Los bloques de claves pueden utilizarse para proteger las claves del Algoritmo de Cifrado de Datos Triple (TDEA), a veces denominado 3DES o Triple DES, y del Estándar de Cifrado Avanzado (AES). 

Keyblocks, desempeña un papel importante en la protección de las claves criptográficas utilizadas para ayudar a proteger la seguridad de los pagos porque impide el uso indebido de las claves criptográficas y dificulta que se exploten los puntos débiles que, de otro modo, podrían permitir la modificación, sustitución o el descubrimiento no autorizado de una clave criptográfica que se utiliza para proteger los datos de pago. 

De acuerdo con los requerimientos 18-3 de PCI PIN v3.0 y de P2PE v3.0 (Point to Point Encryption), algunos de los métodos aceptables para la implementación de keyblocks son: 

  1. Uso de una función MAC (Message Authentication Code) aplicada sobre la concatenación de los atributos en texto claro y la parte encriptada del Key Block, el cual incluye la llave. 
  2. Una firma digital calculada sobre esos mismos datos. 
  3. Una función de verificación de integridad que es una parte implícita del proceso de encriptación de claves, como el que se utiliza en el proceso de key-wrapping en claves AES, especificado en la norma ANSI X9.102. (Symmetric Key Cryptography for the Financial Services Industry).

Existen múltiples implementaciones propietarias de estos métodos de key blocks, incluyendo Atalla Key Blocks (AKB) y Thales Key Blocks (TKB). Con el fin de evitar problemas de compatibilidad y para garantizar consistencia con ANSI X9.24. (Retail Financial Services Symmetric Key Management) que, hoy por hoy, es el método para la implementación de key blocks.

Desde la perspectiva de PCI PIN y P2PE, el uso de key blocks es obligatorio para todas las claves simétricas intercambiadas o almacenadas bajo otra clave simétrica bajo los escenarios de llave fija (fixed key) y master key/session key (por ejemplo, Zone Master Keys (ZMK), Key-Encipherment Keys (KEKs), Terminal Master Keys (TMKs) y PIN-Encryption Keys (PEKs)).

Igualmente, en el caso de DUKPT (Derived Unique Key per Transaction), el uso de Key Blocks es aplicable a Base Derivation Keys (BDKs) y las claves iniciales de DUKPT (initial DUKPT keys).

También es importante resaltar que todos los módulos de seguridad de hardware (Hardware Security Modules – HSM) certificados como PCI HSM y todos los dispositivos de aceptación de PIN (Point-of-Interaction – POI) a partir de la versión 2 de PCI PTS POI (publicada en 2007) soportan TR-31 o métodos equivalentes.

Periodos de Implementación de Keyblocks

Debido a una serie de factores, entre los que se incluye el impacto en las organizaciones ocasionado por la pandemia de COVID-19, el PCI SSC (PCI Security Standards Council) ha ampliado algunas fechas de entrada en vigor para las implementaciones de llaves Keyblock. El último boletín de seguridad del PCI SSC contiene las fechas efectivas actualizadas, quedando de la siguiente manera:

Fase 1: Implementar los bloques de claves para las conexiones internas y el almacenamiento de claves dentro de los entornos de los proveedores de servicios.

Esto incluye todas las aplicaciones y bases de datos conectadas a los módulos de seguridad de hardware (HSM). La fase 1 entró en efectividad desde el 1 de junio de 2019; esta fecha no fue prorrogada.

Fase 2: Implementar bloques de claves para conexiones externas a asociaciones y redes. Nueva fecha de entrada en vigor para el 01 de enero de 2023 (sustituye a la anterior fecha de entrada en vigor del 1 de junio de 2021).

Fase 3: Implementar los bloques de claves para extenderlos a todos los hosts comerciales, dispositivos de punto de venta y cajeros automáticos. Nueva fecha de entrada en vigor para el 01 de enero de 2025 (sustituye a la anterior fecha de entrada en vigor del 1 de junio de 2023).

Share