Clave única derivada por transacción

En criptografía , la clave única derivada por transacción ( DUKPT ) es un esquema de gestión de claves en el que para cada transacción se utiliza una clave única derivada de una clave fija. Por lo tanto, si una clave derivada se ve comprometida, los datos de transacciones pasadas y futuras siguen estando protegidos, ya que las claves siguientes o anteriores no se pueden determinar fácilmente.

La versión actual (a mayo de 2024) del estándar (ANSI X9.24-3-2017 ^[1] ) se publicó en 2017. ^[2] Se basa en el algoritmo de cifrado AES y se recomienda para nuevas implementaciones.

Este artículo trata sobre la variante original de DUKPT que se basa en el algoritmo de cifrado TDEA y se describe en el Apéndice C de ANSI X9.24-3-2017.

Descripción general

DUKPT permite que el procesamiento del cifrado se realice más allá de los dispositivos que contienen el secreto compartido. El cifrado se realiza con una clave derivada , que no se reutiliza después de la transacción. DUKPT se utiliza para cifrar transacciones de comercio electrónico. Si bien se puede utilizar para proteger la información entre dos empresas o bancos, normalmente se utiliza para cifrar la información del PIN adquirida por los dispositivos de punto de venta (POS).

DUKPT no es en sí un estándar de cifrado, sino más bien una técnica de gestión de claves. Las características del sistema DUKPT son:

• permitir que tanto la parte de origen como la parte receptora estén de acuerdo en cuanto a la clave que se utiliza para una transacción determinada,
• Cada transacción tendrá una clave distinta de todas las demás transacciones, salvo por coincidencia,
• Si una clave derivada del presente se ve comprometida, las claves pasadas y futuras (y, por lo tanto, los datos transaccionales cifrados con ellas) permanecen intactas.
• cada dispositivo genera una secuencia de teclas diferente,
• Los originadores y receptores de mensajes cifrados no tienen que realizar previamente un protocolo de acuerdo de clave interactivo.

Historia

DUKPT fue inventado a fines de la década de 1980 en Visa, pero no recibió mucha aceptación hasta la década de 1990, cuando las prácticas de la industria cambiaron hacia recomendar, y luego exigir, que cada dispositivo tenga una clave de cifrado distinta.

Antes de DUKPT, el estado de la técnica se conocía como Master/Session , que requería que cada dispositivo de cifrado de PIN se inicializara con una clave maestra única. Al gestionar transacciones originadas en dispositivos que utilizan la gestión de claves Master/Session, un efecto secundario no deseado era la necesidad de una tabla de claves de cifrado tan numerosas como los dispositivos implementados. En un adquirente comercial importante, la tabla podía llegar a ser bastante grande. DUKPT resolvió este problema. En DUKPT, cada dispositivo todavía se inicializa con una clave distinta, pero todas las claves de inicialización de una familia completa de dispositivos se derivan de una clave única, la clave de derivación de base (BDK). Para descifrar mensajes cifrados de dispositivos en el campo, el destinatario solo necesita almacenar la BDK.

Llaves

Como se indicó anteriormente, el algoritmo necesita una clave única inicial que en la descripción original del algoritmo se denominaba clave supersecreta , pero que luego se renombró como Clave de derivación base (o BDK, por sus siglas en inglés), de una manera más oficial . El nombre original quizás transmita mejor la verdadera naturaleza de esta clave, porque si se ve comprometida, todos los dispositivos y todas las transacciones se verán igualmente comprometidos.

Esto se ve mitigado por el hecho de que sólo hay dos partes que conocen el BDK:

• el destinatario de los mensajes cifrados (normalmente un adquirente comercial)
• la parte que inicializa los dispositivos de cifrado (normalmente el fabricante del dispositivo).

El BDK se almacena normalmente dentro de un módulo de seguridad resistente a manipulaciones (TRSM) o un módulo de seguridad de hardware (HSM). Debe quedar claro que esta clave no es la que se utiliza para inicializar el dispositivo de cifrado que participará en las operaciones DUKPT. Vea a continuación el proceso real de generación de la clave de cifrado.

• Primero : una clave derivada del BDK, conocida como IPEK (clave de cifrado de PIN inicial)
• Segundo : la IPEK se inyecta luego en los dispositivos, por lo que cualquier violación de esa clave compromete solo el dispositivo, no el BDK. Esto crea otro conjunto de claves (dentro del dispositivo) derivadas irreversiblemente de él (nominalmente llamadas Future Keys ).
• Cuarto : A continuación, la IPEK se descarta inmediatamente. NOTA: Este paso contradice la sección "Claves de sesión", donde se indica que solo se generan 21 "Claves futuras". La terminal debe conservar la IPEK para generar el siguiente lote de 21 claves futuras. NOTA: Esto no es cierto, las claves futuras se utilizan para derivar nuevas claves futuras; de hecho, la IPEK se descarta.
• Quinto : Las claves futuras se utilizan para cifrar las transacciones en el proceso DUKPT.

Al detectar un compromiso, el propio dispositivo deriva una nueva clave a través del proceso de generación de clave derivada.

Comunicación

Origen

En el extremo de origen (cifrado), el sistema funciona de la siguiente manera:

1. Se inicia una transacción que implica el cifrado de datos. El caso típico es el PIN del cliente.
2. Se recupera una clave del conjunto de “Claves futuras”
3. Esto se utiliza para cifrar el mensaje, creando un criptograma .
4. El dispositivo de cifrado devuelve un identificador conocido como “número de serie de clave” (KSN, por sus siglas en inglés) junto con el criptograma. El KSN se forma a partir del identificador único del dispositivo y un contador de transacciones interno.
5. El par (criptograma, KSN) se envía al destinatario previsto, normalmente el adquirente comercial, donde se descifra y se procesa más a fondo.
6. Internamente, el dispositivo hace lo siguiente:
   1. Incrementa el recuento de transacciones (usando un contador interno)
   2. Invalida la clave que se acaba de utilizar y
   3. Si es necesario genera más claves futuras

Recepción

En el extremo receptor (descifrador), el sistema funciona de la siguiente manera:

1. Se reciben el par (criptograma, KSN).
2. Se encuentra el BDK apropiado (si el sistema tiene más de uno).
3. El sistema receptor primero regenera la clave IPEK y luego pasa por un proceso similar al utilizado en el sistema de origen para llegar a la misma clave de cifrado que se utilizó (la clave de sesión). El número de serie de la clave (KSN) proporciona la información necesaria para realizar esta operación.
4. El criptograma se descifra con la clave de sesión.
5. No se realiza ningún procesamiento adicional. Para los adquirentes comerciales, esto generalmente significa cifrar con otra clave para reenviarlos a un conmutador (hacer una "traducción"), pero para ciertas operaciones de circuito cerrado puede implicar el procesamiento directo de los datos, como la verificación del PIN.

Claves de sesión

El método para llegar a las claves de sesión es algo diferente en el lado de origen que en el lado de recepción. En el lado de origen, se conserva una cantidad considerable de información de estado entre transacciones, incluido un contador de transacciones, un número de serie y una matriz de hasta 21 "claves futuras". En el lado de recepción, no se conserva ninguna información de estado; solo la BDK es persistente en todas las operaciones de procesamiento. Esta disposición proporciona comodidad al receptor (se puede dar servicio a una gran cantidad de dispositivos mientras se almacena solo una clave). También proporciona cierta seguridad adicional con respecto al originador (los dispositivos de captura de PIN a menudo se implementan en entornos reacios a la seguridad; los parámetros de seguridad en los dispositivos están "distantes" de la BDK sensible y, si el dispositivo se ve comprometido, otros dispositivos no se ven comprometidos implícitamente).

Uso de registros

Registros de respaldo

Las siguientes áreas de almacenamiento relacionadas con la administración de claves se mantienen desde el momento del comando "Cargar clave inicial" durante la vida útil del dispositivo de ingreso de PIN:

Contador de cifrado (21 bits)

Contador de la cantidad de cifrados de PIN que se han producido desde que se inicializó por primera vez el dispositivo de entrada de PIN. Se omiten determinados valores del contador (como se explica a continuación), de modo que son posibles más de 1 millón de operaciones de cifrado de PIN. Nota: La concatenación (de izquierda a derecha) del registro de número de serie de clave inicial y el contador de cifrado forman el registro de número de serie de clave de 80 bits (20 dígitos hexadecimales).

Registros de claves futuras (21 registros de 34 dígitos hexadecimales cada uno)

Un conjunto de 21 registros, numerados del 1 al 21, que se utilizan para almacenar claves de cifrado PIN futuras. Cada registro incluye una comprobación de redundancia longitudinal (LRC) de 2 dígitos hexadecimales o una comprobación de redundancia cíclica (CRC) de 2 dígitos hexadecimales.

Registros temporales

Las siguientes áreas de almacenamiento relacionadas con la gestión de claves se requieren de forma temporal y pueden ser utilizadas para otros fines por otras rutinas de procesamiento de PIN:

Puntero de clave actual (aproximadamente 4 dígitos hexadecimales)

Contiene la dirección del registro de clave futura cuyo contenido se está utilizando en la operación criptográfica actual. Identifica el contenido de ese registro de clave futura cuya dirección está contenida en el puntero de clave actual.

Registro de desplazamiento (21 bits)

Un registro de 21 bits, cuyos bits están numerados de izquierda a derecha del 1 al 21. Este registro normalmente contiene 20 bits "cero" y un solo bit "uno". Uno de los usos de este registro es seleccionar uno de los registros de clave futura. El registro de clave futura que se seleccionará es el que tiene el mismo número que el bit del registro de desplazamiento que contiene el único "uno".

Registro criptográfico 1 (16 dígitos hexadecimales)

Un registro utilizado para realizar operaciones criptográficas.

Registro criptográfico 2 (16 dígitos hexadecimales)

Un segundo registro utilizado para realizar operaciones criptográficas.

Registro de claves (32 dígitos hexadecimales)

Un registro utilizado para almacenar una clave criptográfica.

Cuestiones prácticas (plan KSN)

En aplicaciones prácticas, uno podría tener varios BDK registrados, posiblemente para diferentes clientes, o para contener el alcance de la vulneración de claves. Al procesar transacciones, es importante que el receptor sepa qué BDK se utilizó para inicializar el dispositivo de origen. Para lograr esto, el KSN de 80 bits se estructura en tres partes: un ID de conjunto de claves, un ID de TRSM y el contador de transacciones. El algoritmo especifica que el contador de transacciones es de 21 bits, pero trata los 59 bits restantes de forma opaca (el algoritmo solo especifica que los bits no utilizados se rellenen con 0 hasta un límite de nibble y luego se rellenen con 'f' hasta el límite de 80 bits). Debido a esto, la entidad que administra la creación de los dispositivos DUKPT (normalmente un adquirente comercial) es libre de subdividir los 59 bits según sus preferencias.

La práctica de la industria es designar la partición como una serie de tres dígitos, que indican la cantidad de dígitos hexadecimales utilizados en cada parte: el ID del conjunto de claves, el ID de TRSM y el contador de transacciones. Una opción común es "6-5-5", lo que significa que los primeros 6 dígitos hexadecimales del KSN indican el ID del conjunto de claves (es decir, qué BDK se utilizará), los siguientes 5 son el ID de TRSM (es decir, un número de serie del dispositivo dentro del rango que se inicializa a través de un BDK común) y los últimos 5 son el contador de transacciones.

Este esquema de notación no es estrictamente preciso, porque el contador de transacciones tiene 21 bits, que no es un múltiplo par de 4 (la cantidad de bits en un dígito hexadecimal). En consecuencia, el contador de transacciones en realidad consume un bit del campo que es el ID de TRSM (en este ejemplo, eso significa que el campo ID de TRSM puede albergar 2 ^(5*4-1) dispositivos, en lugar de 2 ^(5*4) , o aproximadamente medio millón).

Además, es una práctica común en la industria utilizar solo 64 bits del KSN (probablemente por razones relacionadas con los sistemas heredados y el cifrado DES), lo que implicaría que el KSN completo se rellena a la izquierda con cuatro dígitos hexadecimales "f". Los 4 dígitos hexadecimales restantes (16 bits) están disponibles, no obstante, para los sistemas que pueden aceptarlos.

El esquema 6-5-5 mencionado anteriormente permitiría alrededor de 16 millones de BDK, 500.000 dispositivos por BDK y 1 millón de transacciones por dispositivo.

Referencias

1. https://webstore.ansi.org/standards/ascx9/ansix9242017-1665702
2. https://x9.org/asc-x9-releases-standard-ensuring-security-metric-key-management-retail-financial-transactions-aes-dukpt-algorithm/

• https://www.emscorporate.com/glossary/derived-unique-key-per-transaction#:~:text=What%20is%20a%20Derived%20Unique,of%20any%20previously%20used%20key.
• https://www.futurex.com/derived-unique-key-per-transaction/
• https://handpoint.atlassian.net/wiki/Derived_unique_key_per_transaction/spaces/PD/pages/32014361/DUKPT