PCI DSS 보안 - SRED 보호

Question

내가 간단한 질문이 있습니다 ...

는 PCI를 사용하여이 DUKPT 이중 아이폰에의 TDES 키 SRED 절차에 민감한 데이터를 보호 3.0 하드웨어를 PTS. 암호화 된 결과 데이터가 안전합니까?

보안되지 않은 TCP를 통해 보내려면 안전하다고 생각하십니까? 보안되지 않은 라우터를 통해? TCP를 통해 인터넷을 통해? pastebin :)에 게시 했습니까?

통신 경로에 보안을 추가해야합니까? SSL을 사용해야합니까? 왜 ? 그게 어디서 그렇게 말하는거야?

SRED를 사용할 때 실제로 관련 정보를 찾을 수 없습니다. 그 자체만으로도 충분하고 PCI DSS 3.0은 안전하다고 생각하십니까?

수정 됨 : 단순화하려면 ... 로컬 lan의 tcp를 통해 전송 된 TripleDed Dukpt 암호화 된 track2 데이터가 안전한 것으로 간주됩니까?

감사합니다.

Answer 1

네트워크를 통해 3DES/DUKPT는 트랙 2 데이터를 안전하게 암호화 할 수 있습니다. 수동 공격자는 메시지를 해독하고 신용 카드 번호를 얻을 수 없습니다.

그러나 DUKPT는 재생 공격으로부터 보호하지 못합니다. 트랜잭션 메시지 무결성을 보장하려면 추가 암호화를 사용해야합니다.

공격자는 암호화 된 트랙 2 데이터를 변경하지 않고 다른 트랜잭션 데이터를 수정할 수 있습니다. 예를 들어, 공격자는 트랜잭션 메시지를 가로 채고 암호화 된 트랙 2 데이터를 추출 할 수 있습니다. 공격자는 동일한 암호화 된 트랙 2 데이터로 다른 양의 새로운 트랜잭션을 생성 할 수 있습니다. 그런 다음 공격자는 실제 트랜잭션 대신 수정 된 트랜잭션을 제출할 수 있습니다.