MACを不可逆的なPCIトークンとして使用できますか?
私は、PANから取得したMACコードに基づいてPCIトークン生成プロセスを実装することを検討しています。これは元に戻せないトークンです。
私が考えている方法は私には問題ないようですが、QSAで飛ぶかどうかはよくわかりません。私のレシピが失敗する可能性についてのアドバイスをいただければ幸いです。
詳細は次のとおりです。
- トークンは32桁の値で、10は10進数、8は16進数です。 10桁の10桁は、PANの最初の6桁と最後の4桁です。これらは、多様性を生み出し、衝突を避けるためにのみ追加されます。
- 8桁の16進数は、PANとソルトのXORによって形成された32文字の文字列と、いくつかの(繰り返された)PAN桁から作成されたいくつかのパディング; [から得られるCBC MACです。 ____。]
- 私が使用しているHSMは、倍長キーの3DESのみをサポートしています(AESなし、SHA-256なしなど)。
誰かがこの方法について意見を持っていますか?
この点に関するPCI-DSSの要件と制約をよりよく理解するために、特定の トークン化ガイドライン が利用可能です。
このガイドラインでは、「一方向の不可逆的な暗号関数(強力で秘密のソルトを使用したハッシュ関数など)」の1つとして、トークン化に関してさまざまなアプローチがあることを明記しています。さらに、6 +(Tokenized Value)+4のようなトークン形式を使用できます。
あなたのシナリオでは、私が確認できることから、MAC-CBCに使用されるソルト値が秘密で予測不能に保たれている(したがって、完全なPANを取得するためにブルートフォース/衝突攻撃を実行できないようにする)限り、 QSAの目。