Tiêu chuẩn quốc gia TCVN 8461-1:2010 Ngân hàng - Quản lý bảo mật số nhận dạng cá nhân - Phần 1

5.3. Nhập mã PIN

Các giá trị của mã PIN đã nhập phải không được hiển thị dưới dạng văn bản rõ hoặc bị lộ bởi phản hồi nghe được.

5.4. Xem xét về đóng gói

Thiết bị nhập mã PIN có thể được đóng gói như là một phần của thiết bị đầu cuối hoặc có thể điều khiển từ xa bởi bộ điện tử điều khiển thiết bị đầu cuối. Bộ điện tử điều khiển thiết bị đầu cuối có hoặc không được bảo mật vật lý (xem 6.3.2); tuy nhiên thiết bị nhập mã PIN sẽ được bảo mật theo quy định trong 6.3.2 hoặc 6.3.4.

Thiết bị nhập mã PIN phải được thiết kế hoặc cài đặt sao cho khách hàng có thể ngăn ngừa người khác quan sát thấy giá trị mã PIN khi nó đang nhập.

Khi sử dụng thiết bị nhập mã PIN được điều khiển từ xa, các phương tiện truyền thông liên kết giữa nó và thiết bị đầu cuối gắn với nó sẽ được bảo vệ (xem 8.2).

Bảng 2 tóm tắt các yêu cầu bảo mật đối với từng cấu hình của bốn trường hợp thiết bị đầu cuối và thiết bị nhập mã PIN.

Bảng 2 - Xem xét về đóng gói thiết bị nhập mã PIN

...

...

...

Không bảo mật vật lý thiết bị đầu cuối

Thiết bị nhập mã PIN là một bộ phận của thiết bị đầu cuối

Các yêu cầu bảo vệ vật lý như quy định trong 6.3.2 áp dụng cho toàn bộ thiết bị đầu cuối.

Thiết bị đầu cuối phải mã hóa mã PIN như quy định trong 6.2 để chuyển giao.

Các yêu cầu bảo vệ vật lý như quy định trong 6.3.2 hoặc 6.3.4 áp dụng cho thiết bị nhập mã PIN.

Thiết bị nhập mã PIN phải mã hóa mã PIN như quy định trong 6.2 để chuyển giao.

Thiết bị nhập mã PIN điều khiển từ xa đến thiết bị đầu cuối

Thiết bị nhập mã PIN sẽ được bảo mật như quy định trong 6.3.2 hoặc 6.3.4.

Thiết bị nhập mã PIN phải mã hóa mã PIN như quy định trong 6.2 để chuyển giao.

...

...

...

Thiết bị nhập mã PIN phải mã hóa mã PIN như quy định trong 6.2 để chuyển giao.

6. Vấn đề bảo mật mã PIN

6.1. Yêu cầu kiểm soát mã PIN

6.1.1. Phần cứng và phần mềm

Phần cứng và phần mềm được sử dụng trong các chức năng quản lý mã PIN phải cài đặt để đảm bảo các điều sau:

a) Phần cứng và phần mềm hoạt động chính xác theo chức năng mà nó được thiết kế và chỉ chức năng đó.

b) Phần cứng và phần mềm không thể bị sửa đổi hoặc truy cập mà không bị phát hiện và/hoặc làm mất khả năng.

c) Thông tin không thể bị truy cập hoặc chỉnh sửa trái phép mà không bị phát hiện và bác bỏ xâm nhập.

d) Không thể sử dụng hoặc lạm dụng hệ thống để dò ra mã PIN bằng cách sử dụng phép thử và lỗi.

...

...

...

6.1.2. Thiết bị ghi

Bất kỳ thiết bị ghi (ví dụ các đĩa, băng từ,...) có chứa dữ liệu mà từ dữ liệu đó có thể xác định thì phải giải từ, ghi đè hoặc phá hủy trực tiếp bằng vật lý sau khi sử dụng. Chỉ khi tất cả các vùng lưu trữ (kể cả lưu trữ tạm thời) được dùng trong quá trình trên có thể được nhận dạng và giải từ hoặc ghi đè, trong các quá trình đó có thể sử dụng hệ thống máy tính (xem Phụ lục F).

6.1.3. Truyền đạt bằng lời nói

Không một thủ tục nào yêu cầu hoặc cho phép truyền đạt bằng lời nói về văn bản rõ mã PIN, hoặc bằng người hoặc bằng điện thoại. Không một tổ chức nào cho phép nhân viên thăm hỏi khách hàng để lộ ra mã PIN hoặc để giới thiệu các giá trị cụ thể.

6.1.4. Bàn phím điện thoại

Các thủ tục của cơ quan tổ chức phải không cho phép nhập văn bản rõ mã PIN thông qua bàn phím của điện thoại, trừ phi thiết bị điện thoại được thiết kế và cấu tạo theo các yêu cầu quy định trong 5.4 về các thiết bị nhập mã PIN và trong 8.2 về truyền PIN.

6.2. Mã hóa PIN

Khi cần mã hóa PIN để lưu trữ hoặc truyền (xem 6.3 và 8.2) điều này sẽ được thực hiện bằng cách sử dụng một trong các thuật toán đã kiểm duyệt và quy định tại TCVN 8461-2 (ISO 9564- 2).

Phương pháp có thủ tục mã hóa phải đảm bảo rằng việc mã hóa giá trị văn bản rõ mã PIN sử dụng một khóa mã hóa riêng lẻ không làm cho không thể đoán trước được việc tạo ra cùng giá trị mã hóa khi cùng giá trị mã PIN được giao cho các tài khoản khác [xem 7.8 phần b)].

...

...

...

Các khóa mật mã của mã PIN không được sử dụng cho bất kỳ mục đích mã hóa nào khác.

Các khóa mật mã mã PIN sẽ có chiều dài ít nhất là 112 bit. Kỹ thuật phù hợp được sử dụng bởi khóa DEA chiều dài gấp đôi như đã quy định tại ISO 11568-2.

ISO 11568-1 quy định các nguyên tắc khởi tạo của quản lý khóa.

6.3. Bảo mật vật lý

6.3.1. Bảo mật vật lý cho các thiết bị nhập mã PIN

Trong mục này định nghĩa về “thiết bị bảo mật vật lý” và “môi trường bảo mật vật lý” và quy định các yêu cầu đối với thiết bị nhập mã PIN. Các yêu cầu bảo mật vật lý được quy định trong ISO 13491-1.

Mã PIN chuẩn chưa mã hóa tồn tại chỉ khi trong một “môi trường bảo mật vật lý” hoặc “thiết bị bảo mật vật lý". Mã PIN giao dịch chưa mã hóa chỉ tồn tại khi trong một “thiết bị bảo mật vật lý", thiết bị nhập mã PIN tuân theo các yêu cầu trong 6.3.4 hoặc bên phát hành (hoặc do đại lý của bên phát hành) “môi trường bảo mật vật lý”.

6.3.2. Thiết bị bảo mật vật lý

Trong đánh giá bảo mật vật lý cho mọi thiết bị, môi trường điều hành mà tại đó thiết bị làm việc là một lưu ý quan trọng. Thiết bị bảo mật vật lý là thiết bị phần cứng, khi hoạt động trong cách thức và môi trường dự định thì bị xâm nhập và làm lộ toàn bộ hoặc một phần của khóa mật mã, mã PIN hoặc giá trị bí mật khác lưu trong thiết bị.

...

...

...

Thiết bị sẽ chỉ hoạt động như một thiết bị bảo mật vật lý khi nó có thể đảm bảo các hoạt động bên trong thiết bị chưa bị sửa đổi để cho phép xâm nhập (ví dụ việc chèn bên trong thiết bị của các cơ chế phân nhánh chủ động hoặc bị động).

6.3.3. Môi trường bảo mật vật lý

Môi trường bảo mật vật lý được trang bị các kiểm soát truy cập hoặc các cơ chế khác được thiết kế để ngăn chặn mọi sự xâm nhập mà làm lộ ra tất cả hoặc một phần của bất kỳ khóa mã hóa hoặc mã PIN đang được lưu trữ trong môi trường.

Môi trường bảo mật vật lý hoạt động như vậy cho đến khi tất cả các mã PIN, các khóa mã hóa và các phần hữu dụng còn lại của mã PIN và khóa đã bị xóa bỏ khỏi môi trường.

6.3.4. Các yêu cầu với thiết bị nhập mã PIN

Thiết bị nhập mã PIN chấp thuận các yêu cầu trong 6.3.2 hoặc ít nhất là tuân theo các yêu cầu sau:

a) Phần mã hóa của mã PIN giao dịch được cài đặt vào trong thiết bị theo dạng được phép như trong Điều 8.

b) Cuộc xâm nhập thành công vào thiết bị nhập mã PIN phải không làm lộ bất kỳ mã PIN giao dịch nào đã nhập trước đó kể cả đã biết dữ liệu bổ sung có liên quan, hoặc bị thâm nhập từ bên ngoài thiết bị (ví dụ mã PIN đã mã hóa đã truyền trước đó từ thiết bị).

c) Việc dò xét trái phép dữ liệu bí mật (mã PIN và khóa) được lưu giữ bên trong thiết bị nhập mã PIN, hoặc các nơi bên trong thiết bị của “băng ghi" để ghi lại dữ liệu mật, điều này yêu cầu rằng thiết bị phải có các điều kiện thuận lợi và:

...

...

...

- Tại điều kiện thuận lợi tùy thuộc vào tổn hại vật lý như thiết bị không thể đặt lại vị trí cũ vào dịch vụ mà không phát hiện xác suất xáo trộn cao. Hơn nữa, việc xác định dữ liệu bí mật hoặc đưa “băng ghi” vào trong thiết bị cần các thiết bị và kỹ năng đặc biệt và nó không hề phổ biến.

d) Dữ liệu lưu trữ bên trong thiết bị nhập mã PIN, mặc dù đã xác định thì cũng không thể truyền sang bất kỳ thiết bị khác.

CHÚ THÍCH: Xem Phụ lục C Hướng dẫn thi hành thiết bị nhập mã PIN.

7. Kỹ thuật quản lý và bảo vệ các chức năng mã PIN có liên quan đến tài khoản.

7.1. Chiều dài mã PIN

Chiều dài mã PIN sẽ không ít hơn 4 ký tự và không nhiều hơn 12 ký tự.

Mã PIN dài hơn là một lợi thế bảo mật nhưng lại cản trở tính hữu dụng. Đối với các lý do sử dụng, mã PIN số nên có chiều dài không được vượt quá 6 chữ số. Khuyến cáo đối với lý do bảo mật, các mã PIN chữ cái theo khách hàng lựa chọn sẽ có chiều dài không ít hơn 6 ký tự. Điều này nên được lưu ý rằng rất nhiều hệ thống quốc tế không chấp nhận nhiều hơn 6 chữ số và/hoặc không hỗ trợ nhập mã PIN ban đầu.

7.2. Lựa chọn mã PIN

7.2.1. Kỹ thuật lựa chọn mã PIN

...

...

...

a) Mã PIN dẫn xuất được cấp.

b) Mã PIN ngẫu nhiên được cấp.

c) Mã PIN được khách hàng lựa chọn.

Việc xâm phạm trong quá trình lựa chọn mã PIN có thể gây tổn hại an ninh của bất kỳ mã PIN nào được phát hành.

7.2.2. Mã PIN dẫn xuất được cấp

Khi mã PIN tham khảo là “mã PIN dẫn xuất được cấp”, bên phát hành dẫn xuất nó và dưới dạng mã hóa từ:

a) Số tài khoản chính; và/hoặc

b) Một số giá trị khác được kết hợp với khách hàng.

Quá trình dẫn xuất mã PIN không nên thiên về các giá trị hoặc tập cụ thể.

...

...

...

CHÚ THÍCH: Khi mã PIN được dẫn xuất từ dữ liệu thẻ, nó có thể được sử dụng để xác minh dữ liệu đó.

7.2.3. Mã PIN ngẫu nhiên được cấp

Khi mã PIN tham khảo là “mã Pin ngẫu nhiên được cấp", bên phát hành nhận được một giá trị từ:

a) Bộ tạo số ngẫu nhiên; hoặc

b) Bộ tạo số giả ngẫu nhiên (xem Phụ lục D).

7.2.4. Mã PIN được khách hàng lựa chọn

Khi mã PIN tham khảo là “mã PIN được khách hàng lựa chọn”, giá trị đó được lựa chọn bởi  khách hàng. Trong trường hợp này, bên phát hành cung cấp cho khách hàng các hướng dẫn và cảnh báo về việc lựa chọn cần thiết (xem Phụ lục G).

CHÚ THÍCH: Đối với bên phát hành, mã PIN được khách hàng lựa chọn là một giá trị ngẫu nhiên.

7.3. Phát hành và phân phối mã PIN

...

...

...

Tất cả các chức năng phát hành mã PIN liên quan đến nhân viên bên phát hành phải chịu sự kiểm soát kép.

Mã PIN không bao giờ lấy lại và giải mã hoặc tạo lại để tiến hành ghi, thực hiện, hiển thị hoặc in ấn. Ngoại trừ trong bao bì của mã PIN an toàn (hoặc tương đương).

Không được xuất hiện mã PIN dưới dạng văn bản rõ tại mọi điểm trong quá trình phân phối có thể liên quan đến tài khoản khách hàng.

7.3.2. Phân phối mã PIN đã chuyển nhượng

Mã PIN được cấp bởi bên phát hành chuyển tới khách hàng bằng phương pháp gọi là phong bao mã PIN.

Phong bao mã PIN sẽ được in theo cách mà văn bản rõ mã PIN không thể bị nhìn thấy được cho đến khi vỏ bao bị mở. Vỏ phong bao sẽ cho biết dữ liệu tối thiểu cần thiết để phân phối phong bao mã PIN cho đúng khách hàng. Phong bao mã PIN sẽ được chế tạo như thế nó rất có thể bị tình cờ hoặc giả mở ra để xem trước tới khách hàng. Bên phát hành phải cảnh báo với khách hàng không sử dụng mã PIN có chứa trong phong bao mã PIN đã bị mở hoặc rách và phải thông báo cho bên phát hành biết sự việc đó.

Bao bì hoặc nội dung của nó có thể chứa nội dung “phần nháp mã PIN" (ví dụ như giấy than), và bên phát hành nên cảnh báo khách hàng rằng sau khi ghi nhớ mã PIN, họ nên hủy toàn bộ phong bao hoặc giữ phong bao ở một nơi an toàn.

CHÚ THÍCH: Có thể có nhiều thẻ được phát hành cho cùng một tài khoản và mỗi cái có một mã PIN khác nhau. Nếu thế bên ngoài phong bao mã PIN có thông tin chi tiết về nhận dạng khách hàng để có thể phân phối chính xác, thuận tiện.

Mã PIN và thẻ không được gửi chung phong bao mà cũng không cùng một thời điểm.

...

...

...

7.3.3.1. Chuyển giao mã PIN

Mã PIN được chọn bởi khách hàng sẽ được chuyển giao từ bên phát hành bằng một trong các kỹ thuật sau:

a) Lựa chọn mã PIN ban đầu tại địa điểm của bên phát hành (xem 7.3.3.2).

b) Lựa chọn mã PIN bằng thư (xem 7.3.3.3).

7.3.3.2. Việc lựa chọn mã PIN tại địa điểm của bên phát hành

Lựa chọn mã PIN tiến hành tại địa điểm của bên phát hành thông qua một thiết bị nhập mã PIN tuân theo các yêu cầu của 5.4. Lựa chọn và nhập mã PIN không làm cho khách hàng lộ mã PIN cho bất kỳ nhân viên nào của bên phát hành hoặc bên thứ ba. Phải áp dụng thủ tục sau:

a) Một nhân viên được ủy quyền nhận dạng chính xác khách hàng.

b) Hệ thống yêu cầu nhận dạng và sự ủy quyền của nhân viên bên phát hành.

c) Quá trình lựa chọn mã PIN được thực hiện bởi nhân viên được ủy quyền đó. Quá trình sẽ kết thúc khi việc lựa chọn mã PIN hoàn thành.

...

...

...

7.3.3.3. Lựa chọn mã PIN bằng thư

Lựa chọn mã PIN bằng thư được tiến hành bằng cách sử dụng một mẫu chứa các con số kiểm soát và khoảng trắng cho PIN được chọn. Số kiểm soát không để lộ số tài khoản. Bất kỳ khóa mã hóa nào được sử dụng để tạo ra số kiểm soát không được sử dụng cho bất kỳ mục đích nào khác và được quản lý theo quy định tại ISO 11568. Mẫu hoàn thành không chứa bất kỳ thông tin nào mà liên hệ mã PIN với tên khách hàng, địa chỉ hoặc số tài khoản. Quá trình sau phải được áp dụng:

a) Thư gửi cho khách hàng phải chứa mẫu lựa chọn mã PIN và các hướng dẫn.

b) Quá trình gửi thư sẽ tuân theo các bước quy định trong 7.3.2, xử lý số kiểm soát như là mã PIN.

c) Khách hàng được chỉ dẫn để viết mã PIN lên mẫu, và không viết bất kỳ thông tin nào khác trên mẫu trừ các yêu cầu đặc biệt và không có bất kỳ bức thư nào khác, sau đó được gửi trả lại mẫu theo địa chỉ kèm theo. Một vỏ phong bao có địa chỉ xác định trước được sử dụng.

d) Quá trình này nhận các mẫu lựa chọn mã PIN chỉ được ủy quyền cho có các nhân viên từ bên phát hành.

CHÚ THÍCH: Số kiểm soát có thể được mã hóa từ số tài khoản. Một số bên phát hành chỉ dẫn khách hàng nhập mã PIN đã mã hóa vào mẫu.

7.4. Thay đổi mã PIN

7.4.1. Thay đổi mã PIN trong môi trường trao đổi

...

...

...

7.4.2. Thay đổi mã PIN trên thiết bị đầu cuối đi kèm

Quá trình thay đổi mã PIN trên thiết bị đầu cuối đi kèm giống như việc lựa chọn mã PIN trong 7.3.3.2.

7.4.3. Thay đổi mã PIN trên thiết bị đầu cuối không đi kèm

Quá trình thay đổi mã PIN trên thiết bị đầu cuối không đi kèm trên hệ thống của bên phát hành sẽ yêu cầu cùng mã PIN để nhập và xác minh trước khi lựa chọn và kích hoạt mã PIN được khách hàng lựa chọn thay thế.

Mã PIN mới nên nhập hai lần và cả hai lần nhập phải giống nhau.

7.4.4. Thay đổi mã PIN bằng thư

Quá trình thay đổi mã PIN bằng thư giống với quy định lựa chọn mã PIN trong 7.3.3.3.

7.4.5. Thay thế mã PIN bị quên

Thay thế mã PIN bị quên phải được thực hiện thông qua hệ thống của bên phát hành; nó không được thực hiện trong môi trường trao đổi. Quá trình yêu cầu thay thế mã PIN bị quên phải tuân theo 7.3.

...

...

...

7.4.6. Thay thế mã PIN bị xâm nhập

Khi mã PIN bị nghi là đã bị xâm nhập, nó sẽ bị khóa hoạt động càng sớm càng tốt (xem 7.8) và khách hàng được thông báo giá trị thay đổi hoặc lựa chọn mã khác. Mã PIN thay thế không tương tự như cái bị xâm nhập. Việc kích hoạt mã PIN thay thế có thể tiến hành bí mật hoặc công khai (xem 7.6).

Khi tin rằng mã PIN dẫn xuất được cấp được tin là đã bị lộ, thì có ít nhất một phần tử dữ liệu được sử dụng để dẫn xuất mã PIN phải thay đổi và mã PIN mới được dẫn xuất và phát hành. Đây có thể yêu cầu rằng bất kỳ thẻ tương ứng nào được phát hành lại hoặc mã hóa lại và thẻ cũ sẽ bị khóa khi sử dụng.

7.5. Xử lý vật liệu rác và phong bao mã PIN được hoàn trả

Bên phát hành phải đảm bảo rằng có các biện pháp bảo mật thích đáng được thực hiện trên việc xử lý nội bộ, và xử lý phong bao mã PIN được gửi trả, cùng bất kỳ vật liệu rác nào có liên quan đến việc in ấn phong bao mã PIN.

Cần xem xét cho trước các địa chỉ trả lại khác nhau trong trường hợp không phân phối thẻ và phong bao mã PIN.

7.6. Kích hoạt mã PIN

Mã Pin có thể kích hoạt hoặc bí mật hoặc công khai. Dưới hệ thống kích hoạt mã PIN hàm ẩn, bên phát hành giả định việc phân phối mã PIN thành công, không tính trường hợp ngược lại.

Khi mã PIN được kích hoạt công khai, bên phát hành phải không kích hoạt mã PIN cho đến khi khách hàng gửi trả chữ ký và thông tin xác minh chấp nhận hoặc sử dụng một trong các cách sau:

...

...

...

- Xác nhận rằng đáp ứng này từ người sở hữu thẻ hợp pháp.

Việc nhận và đáp ứng đều không chứa mã PIN.

7.7. Lưu trữ mã PIN

Mã PIN được lưu trữ trong tệp máy tính của bên phát hành dưới dạng mã hóa như quy định trong 6.2.

Mã hóa mã PIN (thuận nghịch và không thuận nghịch) phải kết hợp chặt chẽ với số tài khoản (hoặc dữ liệu khác) sao cho quá trình xác minh có thể tìm ra sự thay thế của một giá trị từ giá trị được lưu khác.

Khi mã PIN (được chuyển nhượng hoặc được khách hàng lựa chọn) được lưu trên băng từ của thẻ, thì không bao giờ được lưu dưới dạng văn bản rõ. Nếu mã PIN được lưu trên băng từ của thẻ, thì nó phải được mã hóa (ví dụ bộ bù mã PIN).

Khi mã PIN (được chuyển nhượng hoặc được khách hàng lựa chọn) được lưu trên mạch tích hợp (IC) trên thẻ, thì nó được lưu bên trong vùng được bảo vệ của IC hoặc nó nên được mã hóa.

7.8. Khóa hoạt động mã PIN

Trách nhiệm khóa hoạt động mã PIN thuộc về bên phát hành. Bên phát hành phải khóa hoạt động mã PIN nếu bất kỳ điều sau xảy ra:

...

...

...

b) Tất cả tài khoản của khách hàng liên quan đến mã PIN bị đóng.

c) Khách hàng gửi yêu cầu khóa hoạt động mã PIN.

d) Bên phát hành vì nguyên nhân nào khác phát hiện việc khóa hoạt động mã PIN là cần thiết.

Trong trường hợp mã PIN bị xâm nhập hoặc có truy vấn khóa hoạt động từ khách hàng, khách hàng được cảnh báo về hành động này.

Bên phát hành phải có biện pháp thích đáng để đảm bảo việc mã PIN đã khóa hoạt động thì không thể sử dụng sau đó với số tài khoản có liên quan.

CHÚ THÍCH: Ví dụ như biện pháp mà xóa bỏ mã PIN đã khóa hoạt động từ bản ghi của bên phát hành và khóa truy cập từ tài khoản.

8. Kỹ thuật quản lý/ bảo vệ các chức năng mã PIN giao dịch

8.1. Nhập mã PIN

Trách nhiệm của việc bảo vệ mã PIN trong suốt quá trình nhập thuộc bên khách hàng, bên chấp nhận thẻ và bên thu thẻ hoặc các đại lý của nó.

...

...

...

Trang thiết bị được sử dụng trong quá trình phải hỗ trợ nhập từ 4 ký tự đến 12 ký tự mã PIN.

8.2. Bảo vệ mã PIN trong quá trình giao dịch

Mã PIN phải được bảo vệ trong suốt quá trình truyền (bổ sung, ví dụ, lưu trữ tại các nút mạng) bởi một hoặc cả hai cách sau:

a) Cung cấp bảo vệ vật lý (xem 6.3);

b) Mã hóa mã PIN (xem 6.2).

Bất cứ khi nào nó cần thiết giải mã và mã hóa mã PIN trong quá trình truyền, cho thời điểm giao dịch từ một mã PIN định dạng cho cái khác hoặc để chuyển khóa mã hóa đã sử dụng, mã PIN phải chứa bên trong thiết bị bảo mật vật lý.

8.3. Định dạng khối mã PIN chuẩn

8.3.1. Cấu trúc khối mã PIN và định dạng giá trị gán

Trong điều này quy định cấu trúc của khối 64 bit dữ liệu mã PIN và gắn các bít số, vị trí và chức năng của bit.

...

...

...

0000

: Định dạng số 0, như xác định trong 8.3.2

0001

: Định dạng số 1, như xác định trong 8.3.3

0010

: Định dạng số 2, như xác định trong ISO 9564-3

0011

: Định dạng số 3, như xác định trong 8.3.5

0100 đến 0111

...

...

...

1000 đến 1011

: Dành cho các chỉ định từ các cơ quan tiêu chuẩn quốc gia

1100 đến 1111

: Giao cho cá nhân sử dụng

Trong trao đổi quốc tế, khối mã PIN định dạng 0 hoặc định dạng khối mã PIN 3 nên được sử dụng khi mã PAN có mặt, và định dạng khối mã PIN 3 nên được sử dụng khi cùng một khóa mã hóa mã PIN được dùng cho nhiều mã hóa mã PIN.

8.3.2. Khối mã PIN định dạng 0

Khối mã PIN này được kiến thiết bởi phần bổ sung modulo -2 của hai trường 64 bit: trường văn bản rõ mã PIN và trường số tài khoản. Các định dạng của các trường này được mô tả trong 8.3.2.1 và 8.3.2.2 tương ứng.

Khối mã PIN định dạng 0 phải mã hóa thuận nghịch khi giao dịch.

8.3.2.1. Trường văn bản rõ mã PIN

...

...

...

Trong đó:

C = Trường kiểm soát

N = Chiều dài mã PIN

P = Số mã PIN

P/F = Số mã PIN/ lấp đầy

F = Số lấp đầy (Fill)

Được nhị phân 0000;

Số nhị phân 4 bit với các giá trị chấp nhận từ 0100(4) đến 1000 (12);

...

...

...

Chỉ định cho các trường này được xác định bởi trường chiều dài mã PIN;

Trường 4 bit giá trị 1111 (15).

8.3.2.2. Trường số tài khoản

Trường số tài khoản phải được định dạng như sau:

Trong đó:

0 = số đệm

Trường 4 bit với chỉ có giá trị chấp nhận là 0000 (số 0)

A1 ... A12 = số tài khoản

...

...

...

8.3.3. Khối mã PIN định dạng 1

Khối định dạng này được kiến thiết bởi 2 trường: trường văn bản rõ mã PIN và trường giao dịch.

Khối mã PIN định dạng 1 nên được sử dụng trong trường hợp mà mã PAN không xuất hiện.

Khối mã PIN định dạng 1 nên được mã hóa thuận nghịch khi được giao dịch.

Khối mã PIN định dạng 1 nên được định dạng như sau:

Trong đó:

C = Trường kiểm soát

Được nhị phân 0000;

...

...

...

Số nhị phân 4 bit với các giá trị chấp nhận từ 0100(4) đến 1000 (12);

P = Số mã PIN

Trường 4 bit với các giá trị chấp nhận từ 0000(số 0) đến 1001 (9);

P/T = Số mã PIN chuyển giao

Chỉ định cho các trường này được xác định bởi trường chiều dài mã PIN;

T = Số mã chuyển giao

Số nhị phân 4 bit với giá trị chấp nhận từ 0000 (số 0) đến 1111 (15).

Trường giao dịch là một số nhị phân hình thành bởi [56-(N* 4)] bít. Số nhị phân này phải là lẻ (không kể bị đổi) để tất cả sự kiện xảy ra tại khối, hộp mã PIN, ví dụ như được dẫn xuất từ một chuỗi số giao dịch, tem thời gian, số ngẫu nhiên hoặc tương tự.

Trường giao dịch không nên giao dịch và không được yêu cầu trong khi thao tác chuyển khối mã PIN sang định dạng khác kể từ khi đã biết chiều dài mã PIN.

...

...

...

Khối mã PIN định dạng 2 được quy định cho nội bộ sử dụng với các thẻ IC. Khối mã PIN định dạng 2 chỉ nên sử dụng trong môi trường ngoại tuyến và không nên sử dụng để xác minh mã PIN trực tuyến.

8.3.5. Khối mã PIN định dạng 3

8.3.5.1. Cấu trúc khối mã PIN định dạng 3

Khối mã PIN định dạng 3 tương tự khối mã PIN định dạng 0 ngoại trừ các số lấp đầy.

Khối mã PIN này được kiến thiết bởi phần bổ sung modulo-2 của hai trường 64 bit: trường văn
bản rõ mã PIN và trường số tài khoản. Các định dạng trường này được mô tả trong 8.3.5.2 và tương ứng.

Khối mã PIN định dạng 3 phải mã hóa thuận nghịch khi giao dịch.

8.3.5.2. Trường văn bản rõ mã PIN

Trường văn bản rõ mã PIN phải được định dạng như sau:

...

...

...

C = Trường kiểm soát

Được nhị phân 0011;

N = Chiều dài mã PIN

Số nhị phân 4 bit với các giá trị chấp nhận từ 0100(4) đến 1000 (12);

P = Số mã PIN

Trường 4 bit với các giá trị chấp nhận từ 0000(số 0) đến 1001 (9);

P/F = Số mã PIN/lấp đầy

Chỉ định cho các trường này được xác định bởi trường chiều dài mã PIN;

F = Số lấp đầy (Fill)

...

...

...

8.3.5.3. Trường số tài khoản

Trường số tài khoản phải định dạng như sau:

Trong đó:

0 = số đệm

Trường 4 bit với chỉ có giá trị chấp nhận là 0000 (số 0)

A1 ... A12 = số tài khoản

Nội dung của 12 chữ số ngoài cùng bên phải của số tài khoản chính (PAN) không bao gồm số kiểm tra. A12 là số ngay trước số kiểm tra của mã PAN. Nếu mã PAN không bao gồm số kiểm tra thì có ít nhất 12 chữ số, các chữ số được đặt phải và bên trái đệm các số 0. Các giá trị chấp nhận từ 0000 (số 0) đến 1001 (9).

8.4. Định dạng khối mã PIN khác

...

...

...

Bên thu thẻ phải đảm bảo chuyển giao bảo mật với định dạng khối mã PIN không chuẩn thành khối mã PIN chuẩn (xem 8.3).

8.5. Kiểm tra xác nhận mã PIN

Trách nhiệm kiểm tra xác nhận mã PIN trực tuyến thuộc về bên phát hành, mặc dù chức năng kiểm tra xác nhận có thể do một tổ chức khác đảm nhiệm.

CHÚ THÍCH: Một số hướng dẫn về các kỹ thuật kiểm tra xác nhận mã PIN được cung cấp trong Phụ lục B.

8.6. Nhật ký việc giao dịch/ chuyển giao có chứa dữ liệu mã PIN

Các thiết bị đầu cuối và các nút khác trên mạng có thể được yêu cầu ghi lại nhật ký (tức là ghi lại đầy đủ văn bản) các thông điệp giao dịch. Các thông điệp được ghi lại không được chứa văn bản rõ mã PIN. Nếu điều này được chấp nhận thì các thông điệp đã ghi lại sẽ chứa mã PIN được mã hóa phù hợp với 6.2. nếu và chỉ nếu ngăn chặn việc làm lộ khóa giải mã mã PIN trong bất kỳ dạng nào cần bảo đảm vòng đời của mã PIN.

Mã PIN không nên lưu dài hơn mức cần thiết.

Chủ thẻ khiếu nại liên quan đến việc lộ mã PIN và/hoặc bị giả mạo nên được ghi lại theo cách mà việc xác định nguồn gốc có thể có của lỗi và/hoặc lợi dụng.

9. Phê chuẩn quy trình mã hóa thuật toán

...

...

...

a) Nó phải được thiết kế để phục vụ với mục đích chưa có trong TCVN 8461-2 (ISO 9564-2) (ví dụ, cho thị trường khác; để thể hiện việc tiết kiệm chi phí đáng kể trong khi áp dụng hoặc thực thi nó; hoặc để cung cấp một độ đo được lớn được bảo vệ).

b) Nó phải đủ an toàn, đáng tin cậy và ổn định để phục vụ cho mục đích ban đầu. Các thuật toán phải tuân thủ theo các yêu cầu có trong ISO 11568-1 và được mô tả trong Phụ lục A.

Phụ lục A

(Tham khảo)

Các nguyên tắc chung về quản lý khóa

A.1 Phân cấp khóa mã hóa

Quản lý khóa trong tiêu chuẩn quốc tế này được quy định trong ISO 11568. Phần phụ lục này chỉ để tham khảo.

Các khóa mật mã có thể được cấu trúc phân cấp. Các môi trường khác nhau có thể yêu cầu các bậc khác nhau khi phân cấp, ví dụ một số thiết bị đầu cuối phải yêu cầu 2 cấp. Một ví dụ phân cấp bậc 3 như sau:

...

...

...

b) Tại bậc tiếp theo là các khóa mã hóa khóa. Chúng được sử dụng cho các khóa mã hóa mã PIN đã mã hóa (và các khóa mã hóa dữ liệu) trong kho lưu trữ.

c) Tại bậc thấp nhất là các khóa đang làm việc (ví dụ các khóa đang mã hóa mã PIN được dùng mã hóa tiếp một mã PIN để lưu trữ hoặc chuyển giao).

A.2 Tạo khóa cho các thuật toán khóa bí mật

Các khóa được tạo ra bởi quá trình ngẫu nhiên hoặc ngẫu nhiên giả sao cho không thể đoán trước bất kỳ khóa nào hoặc để xác định các khóa cụ thể nhiều hơn một số khác trong tập của tất cả các khóa xác định.

A.3 Bảo vệ chống lại việc lộ khóa

Một khóa mật mã chỉ tồn tại theo dạng sau:

a) Có ít nhất hai thành phần khóa được kiểm soát bởi quá trình kiểm soát kép và biết từng phần. Mỗi thành phần khóa được tạo ra theo mô tả trong A.2. Mỗi thành phần khóa có chứa cùng số bit với chính khóa đó;

- Việc thành lập khóa từ các thành phần khóa phụ thuộc vào tương tác lẫn nhau của tất cả các thành phần khóa (ví dụ phần bổ sung module - 2).

- Nếu thành phần khóa là dạng con người có thể hiểu (ví dụ dạng bản in văn bản rõ bên trong phong bao) nó được biết chỉ từ nhân viên được ủy quyền, và chỉ tại một thời điểm, và chỉ trong khoảng đủ lâu theo yêu cầu để thành phần khóa có thể nhập vào trong thiết bị hoặc các hệ thống tuân theo 6.3. Nó phải đảm bảo rằng nhân viên được ủy quyền người xử lý thành phần đó là chỉ một người duy nhất đã biết giá trị của nó và có quyền truy cập vào thành phần. Đây có thể nhân viên được ủy quyền sao lưu đã chỉ định là người sẽ duy nhất có quyền truy cập đến thành phần trong trường hợp mà không tồn tại nhân viên được ủy quyền đầu tiên. Các nhân viên này không có quyền truy cập vào các thành phần khác cùng trên một khóa;

...

...

...

c) trong dạng mã hóa, sử dụng một khóa mã hóa.

A.4 Bảo vệ chống lại sự thay thế khóa

Các khóa và các vật liệu tạo khóa liên quan được vận chuyển và lưu trữ bằng phương pháp để bảo vệ chúng kháng lại việc sửa đổi và thay thế.

Nếu hành động chống lại sự thay thế không được tiến hành, kẻ tấn công sẽ thực hiện thay thế khóa với các giá trị đã biết đối với khóa mà có giá trị chưa biết.

Việc bảo vệ được cung cấp sử dụng một trong các phương pháp sau:

a) Bằng cách kết hợp việc bảo vệ vật lý tuân theo 6.3 và các kỹ thuật thủ tục bảo vệ khỏi sự thay thế.

b) Bằng cách sử dụng các kỹ thuật chứng nhận khóa.

c) Bằng cách đảm bảo rằng điều này không thể xảy ra khi biết có hai giá trị văn bản rõ và nó tương ứng với văn bản mã hóa đã mã hóa bằng khóa mã hóa khóa.

Nếu nó được tin rằng hoặc được biết rằng việc thay thế khóa đã thực hiện, cả hai khóa và bất kỳ khóa mã hóa khóa liên quan nào sẽ bị khóa hoạt động và thay đổi.

...

...

...

Khóa được sử dụng để mã hóa mã PIN sẽ không bao giờ được sử dụng cho bất kỳ mục đích mã hóa nào khác. Khóa được sử dụng để bảo vệ khóa mã hóa mã PIN sẽ không bao giờ được sử dụng cho bất kỳ mục đích mã hóa nào khác. Tuy nhiên, các biến của cùng một khóa có thể được sử dụng cho các mục đích khác nhau.

A.6 Giới hạn ảnh hưởng của việc xâm nhập khóa

Theo các bước để tiến hành ngăn chặn sự xâm nhập khóa hoặc các khóa trong một thiết bị mã hóa từ việc xâm nhập bất kỳ các thiết bị mã hóa khác.

Bất kỳ khóa mã hóa khóa hoặc bất kỳ giao dịch khóa mã hóa mã PIN chỉ tồn tại trong số tối thiểu của các địa chỉ thích hợp với các ảnh hưởng từ hoạt động của hệ thống. Điều này có trong nhiều trường hợp sẽ chỉ có hai địa chỉ nhưng trong thí dụ các mạng đàn hồi với các định tuyến thay thế cho việc sử dụng sao lưu nóng (tức thời), sau đó các khóa này khi cần thiết giúp đỡ tại nhiều hơn hai địa chỉ.

Bất kỳ khóa nào được sử dụng bởi thiết bị nhập mã PIN không tuân theo 6.3.2 sẽ không được chia sẻ với bất kỳ thiết bị nhập mã PIN nào khác.

Chỉ có bên phát hành hoặc các đại lý của họ mới có quyền truy cập vào bất kỳ khóa nào sử dụng để mã hóa hoặc dẫn xuất mã PIN tham khảo.

Không khóa mã hóa nào (ngoại trừ bị thay đổi) ngang bằng với bất kỳ khóa mã hóa khác.

Ngoại trừ các biến của khóa, sự chuyển đổi không thuận nghịch của một khóa, hoặc các khóa được mã hóa bởi một khóa, các điều đã biết của một khóa mã hóa không cung cấp thông tin nào về bất kỳ khóa mã hóa nào khác.

Sự chuyển đổi không thuận nghịch của khóa chỉ được sử dụng trong cùng bậc với khóa ban đầu, hoặc bậc trực tiếp bên dưới khóa ban đầu.

...

...

...

A.7 Thay thế khóa

Khóa mật mã được thay thế bằng một khóa mới bất cứ khi nào đã biết hoặc nghi ngờ có sự xâm nhập vào khóa ban đầu. Các điều đã biết của khóa ban đầu sẽ không cung cấp bất kỳ thông tin nào để có thể xác định ra được khóa thay thế. Khóa thay thế không phải là một biến của khóa ban đầu, hay là một chuyển đổi không thuận nghịch của khóa ban đầu.

Khóa mật mã được thay thế bằng một khóa mới trong thời điểm nghĩ rằng khả năng có thể xác định được khóa bằng giải pháp (tấn công) sử dụng.

Phụ lục B

(Tham khảo)

Kỹ thuật kiểm tra xác nhận mã PIN

B.1 Kỹ thuật kiểm tra xác nhận mã PIN

Phụ lục này mô tả ba kỹ thuật kiểm tra xác nhận mã PIN cơ bản, bằng các phương pháp nhập mã PIN hợp lệ vào thiết bị đầu cuối để có thể kiểm tra. Quá trình này tiến hành như sau:

...

...

...

b) Kiểm tra xác nhận mã PIN bởi bên phát hành;

c) Kiểm tra xác nhận mã PIN bởi cơ quan tổ chức thiết lập khác bên phát hành.

Nguyên tắc của cả ba kỹ thuật trên là so sánh mã PIN như là khóa (mã PIN giao dịch) với dữ liệu chuẩn ban đầu từ bên phát hành (ví dụ như mã PIN tham khảo). Để so sánh hợp lệ, mã PIN giao dịch hoặc dữ liệu tham khảo, hoặc cả hai phải yêu cầu chuyển đổi, đối với các trường hợp môi trường đặc biệt, việc giải mã hoặc giao dịch, mã hóa không thuận nghịch, đối với các trường hợp sử dụng hàm một chiều phải cung cấp một bảo mật bậc cao khi dữ liệu chuẩn được trao đổi.

Phương pháp được sử dụng để truyền và lưu trữ dữ liệu phải ảnh hưởng đến kỹ thuật được chọn để xác minh mã PIN. Trong phần bổ sung, mỗi kỹ thuật được mô tả gồm cả các bậc khác nhau của độ phức tạp của phần bổ sung và của phần phơi bày dẫn đến rủi ro.

B.2 Kiểm tra xác nhận mã PIN tại thiết bị đầu cuối

Để kiểm tra xác nhận mã PIN tại thiết bị đầu cuối, thiết bị cần có quyền truy cập đến dữ liệu tham khảo (Mã PIN giao dịch sẽ được xuất hiện trong thiết bị đầu cuối như là một phần tiến trình). Dữ liệu tham khảo sẽ:

a) Được thu nhận hoặc được dẫn xuất từ thẻ của khách hàng; hoặc

b) Được thu nhận/ chuyển giao từ bên phát hành.

Trong đó dữ liệu chuẩn được nhận từ thẻ của khách hàng, việc bị lộ của các khóa mã hóa bí mật được dùng trong thiết bị đầu cuối có thể lộ ra tất cả các mã PIN của bên phát hành đó.

...

...

...

Tại nơi kiểm tra xác nhận mã PIN được tiến hành bởi bên phát hành có liên quan, bên phát hành cần có quyền truy cập vào mã PIN giao dịch hoặc dẫn xuất của chúng (các dữ liệu tham khảo sẽ xuất hiện với bên phát hành như là một phần tiến trình). Phần mã PIN giao dịch được mã hóa cần được giao dịch từ thiết bị đầu cuối đến bên phát hành.

B.4. Kiểm tra xác nhận mã PIN bởi cơ quan tổ chức khác bên phát hành

Kiểm tra xác nhận mã PIN bởi cơ quan tổ chức khác bên phát hành được thực hiện không tại thiết bị đầu cuối mã mã PIN giao dịch đã nhập, mà cũng không tại bên phát hành. Cả hai nhóm dữ liệu được yêu cầu để so sánh cần được cung cấp đến cơ quan tổ chức có liên quan.

Như vậy mã PIN giao dịch hoặc dẫn xuất cần được truyền từ thiết bị đầu cuối. Dữ liệu chuẩn có thể được nhận từ bên phát hành hoặc được dẫn xuất từ dữ liệu trên thẻ của khách hàng và được truyền với mã PIN giao dịch (hoặc dẫn xuất). Khi kỹ thuật này được sử dụng, bảo mật mã PIN của bên phát hành phụ thuộc nhiều vào tính toàn vẹn của các phương tiện của cơ quan tổ chức có liên quan.

Phụ lục C

(Tham khảo)

Thiết bị nhập mã PIN để mã hóa mã PIN trực tuyến

C.1 Quy định chung

...

...

...

Thông thường sử dụng kỹ thuật “khóa làm việc/ khóa chủ đạo” không có trong điều kiện này, ngay cả khi khóa hoạt động mới được mã hóa bởi khóa chủ đạo được chuyển giao đến thiết bị sau tất cả các giao dịch. Một điều đã biết về khóa chủ đạo cùng với một điều đã biết về dữ liệu có thể được chuyển giao đến và từ thiết bị, sẽ được cho phép giải mã các khóa hoạt động đã mã hóa đến thiết bị, ở đó nói cách khác sẽ cho phép giải mã bất kỳ mã PIN được mã hóa nào đã chuyển giao từ thiết bị.

Một phương pháp được khuyến cáo cho điều kiện bên trên là việc tạo một khóa mã hóa mã PIN mới bởi “sự chuyển đổi không thuận nghịch” của khóa mã hóa mã PIN hiện thời ngay khi việc giao dịch sử dụng khóa hiện thời diễn ra hoàn toàn. (Nếu khóa “X” là một chuyển đổi không thuận nghịch của khóa “Y", các phương pháp này không tồn tại cách xác định “Y” với các điều đã biết về “X”.). Theo cách này, thiết bị có một khóa đơn cho tất cả các giao dịch, nhưng không tồn tại cách xác định bất kỳ khóa có trước khác với các điều đã biết về khóa hiện thời.

Trong một phần bổ sung của phương pháp chuyển đổi không thuận nghịch, quá trình chuyển đổi sử dụng dữ liệu mà bị loại bỏ thông thường khi một Mã Xác thực Thông điệp (trường dữ liệu được sử dụng để xác minh quyền sở hữu của thông điệp) được tạo (phần còn lại mã MAC). Các liên kết mã hóa này giao dịch với nhau, cung cấp một dạng “biên bản hoạt động". Trong các tình hình này, một “khóa thẻ" (một dẫn xuất của dữ liệu thẻ chưa chuyển giao) có mặt, bảo mật có thể được nâng cao bằng cách bổ sung “khóa thẻ” vào trong quá trình chuyển đổi không thuận nghịch.

Bên thu thẻ có khả năng xác định khóa hiện thời trong từng cái trong hàng loạt (có thể hàng chục nghìn) thiết bị nhập mã PIN. Số lượng kỹ thuật tại đó có thể được thực hiện, ba kỹ thuật được miêu tả tại C.2 đến C.4.

C.2 Khóa mã hóa được lưu giữ trong dữ liệu của bên thu thẻ

Phương tiện của bên thu thẻ được thừa nhận có chứa thiết bị bảo mật vật lý và dữ liệu không bảo mật. Khóa hiện thời của mỗi thiết bị nhập mã PIN được lưu trữ trong dữ liệu này dưới dạng mã hóa, khóa mã hóa khóa được biết rằng chỉ có trong thiết bị bảo mật vật lý. Khi một giao dịch được nhận từ thiết bị nhập mã PIN, bên thu đầu tiên đặt khóa mã hóa cho thiết bị vào dữ liệu. Dữ liệu giao dịch thích hợp và khóa được mã hóa này được chuyển đổi đến thiết bị bảo mật vật lý, tại đó giả mã phần sau để xác định khóa hiện thời của thiết bị. Sau đó, thiết bị bảo mật vật lý xác định khóa từ dữ liệu như cùng với khóa trong thiết bị nhập mã PIN (ví dụ thực hiện giải mã khối mã PIN hoặc được xác minh Mã Xác thực Thông điệp mà làm cơ sở trên khóa có liên quan đến khóa mã hóa mã PIN), thiết bị bảo mật vật lý thực hiện cùng việc chuyển đổi không thuận nghịch tại thiết bị nhập mã PIN sẽ thực hiện tạo khóa cho lần giao dịch tiếp theo. Nó sau đó mã hóa khóa này và gửi lại nó để lưu trữ trong dữ liệu.

Điều này có thể thực hiện để dữ liệu được lưu trữ cả hai khóa mã hóa cho lần giao dịch hiện thời và khóa mã hóa cho lần giao dịch tiếp theo. Điều này cung cấp khả năng rằng lần giao dịch hiện thời có thể không thể hoàn thành, dẫn đến thiết bị nhập mã PIN sẽ giữ lại khóa hiện thời hơn là chuyển đổi không thuận nghịch khóa hiện thời để tạo ra khóa mới.

C.3 Khóa mã hóa được lưu trữ tại thiết bị đầu cuối hoặc thiết bị nhập mã PIN

Phương pháp hoạt động này được mô tả trong C.2 ngoại trừ rằng không tồn tại dữ liệu của các khóa mã hóa. Thay vì được lưu trữ trong dữ liệu, khóa được mã hóa tiếp theo cho thiết bị nhập mã PIN (mã hóa bằng phần mã hóa khóa xuất hiện chỉ trong thiết bị bảo mật vật lý của bên thu thẻ), được chuyển giao ngược lại thiết bị đầu cuối tương ứng trong thông điệp đáp ứng giao dịch và được lưu trữ tại đó. Khóa được mã hóa này có trong thông điệp truy vấn lần giao dịch tiếp theo từ thiết bị đầu cuối và do vậy xuất hiện trong thiết bị bảo mật vật lý của bên thu thẻ khi quá trình thực hiện việc giao dịch. Điều chú ý được rút ra từ thực tế là thiết bị nhập mã PIN không có khả năng giả mã khóa mã hóa này nhưng hơn là nhận khóa này từ chuyển đổi không thuận nghịch các khóa trước đó.

...

...

...

Loại bỏ cơ sở dữ liệu về các khóa được mã hóa từ trang thiết bị của bên thu thẻ làm giảm các vấn đề phục hồi - hỏng hóc. Với dữ liệu về các khóa được mã hóa chuyển đổi mới nhất, bên thu thẻ cung cấp các cơ chế phục hồi - hỏng hóc sao cho phiên bản mới nhất của mỗi khóa đã mã hóa có thể được phục hồi nếu có hỏng hóc trên vùng lưu trữ có chứa dữ liệu.

C.4 Khóa đơn được dẫn xuất cho mỗi lần giao dịch

Kỹ thuật này tương đương với kỹ thuật được miêu tả ở C.3 tại nơi không cần duy trì dữ liệu các khóa đã mã hóa. Tuy nhiên kỹ thuật này không yêu cầu chuyển giao các khóa đã mã hóa trở lại thiết bị đầu cuối và không hiển thị căn bản với quá trình thực hiện trực tuyến của bên thu thẻ. Thay vào đó, nó không cần đòi hỏi việc xác thực thông điệp.

Trong kỹ thuật này, “số thứ tự khóa" không bí mật mà tăng lên trong mỗi lần giao dịch, được chuyển giao từ thiết bị nhập mã PIN với mỗi mã PIN được mã hóa. Thiết bị bảo mật vật lý của bên thu thẻ có khả năng tính toán mã hóa khóa thiết bị nhập mã PIN hiện thời với chỉ một “khóa dẫn xuất” bí mật, thông thường có rất nhiều thiết bị nhập mã PIN, nhưng không tập trung và số thứ tự khóa được gắn vào lần chuyển tiếp hiện thời.

Để giảm tiến trình tính toán được yêu cầu của thiết bị bảo mật vật lý từ bên thu thẻ, khóa cho lần chuyển tiếp hiện thời là chuyển đổi không thuận nghịch của khóa được sử dụng cho các lần chuyển tiếp trước, nhưng không nhất thiết ngay trước một cái. Trong phần bổ sung hợp lý của kỹ thuật này, bên thu có thể tính toán mã hóa khóa hiện thời của thiết bị nhập mã PIN có sử dụng một số nhỏ các thao tác mã hóa có liên quan. Ví dụ: nếu thiết bị nhập mã PIN có thể dùng một triệu khóa đơn, bên thu thẻ có thể tính toán khóa hiện thời không nhiều hơn mười hai thao tác mã hóa.

Phụ lục D

(tham khảo)

Ví dụ về việc tạo mã PIN ngẫu nhiên giả

...

...

...

I = eK (DT)

R = eK (I XOR S)

Và một S mới được cho bởi:

S = eK (R XOR I)

Như với tất cả bộ tạo số ngẫu nhiên, mỗi phần bổ sung sẽ được kiểm tra định kỳ để đảm bảo các chức năng hoạt động tốt.

Các số mã PIN được dẫn xuất từ R bởi quy trình tiếp theo.

Xét R là một khối mã hóa 64 bit, như số thập lục phân 16. Quét các số này, bỏ qua bất kỳ số nào lớn hơn bằng 9 cho đến khi số được yêu cầu (số mã PIN thập phân) được tìm thấy. Nếu tất cả số mã hóa 16 được quét không tìm thấy số yêu cầu (số mã PIN thập phân), tìm các số được yêu cầu còn lại bằng cách quét lại các số mã hóa, chỉ quan tâm đến các số lớn hơn 9 và trừ cho 10 với mỗi số.

Khuyến cáo rằng kỹ thuật này có số lượng so với độ sai lệch không đáng kể đối với các số từ 0 đến 5, và độ sai lệch này chỉ không đáng kể đối với các mã PIN có độ dài từ 4 ký tự đến 6 ký tự.

...

...

...

(Tham khảo)

Hướng dẫn bổ sung về thiết kế thiết bị nhập mã PIN

E.1 Giới thiệu

Phụ lục này mô tả tính năng như các khóa chức năng và thiết kế lắp đặt thiết bị nhập mã PIN và như vậy nó bổ sung các yêu cầu có trong Điều 5.

E.2 Bố trí khóa

Trong khi có phần đặc biệt quan trọng là sự bố trí của các khóa số trên thiết bị nhập mã PIN đã được cố định, và việc bố trí tổng thể là điều cần thiết hàng đầu, bao gồm cả bất kỳ các khóa chức năng nào đã được chuẩn hóa sao cho giúp đỡ các khách hàng khi họ đang sử dụng thiết bị nhập mã PIN. Các bố trí thường đẩy mạnh thao tác nhất quán và đầy đủ, do đó giảm thiểu được các lỗi trong nhập mã PIN.

Cũng như việc duy trì một bố trí cố định, các khóa chức năng là rõ ràng và có ý nghĩa cố định. Có ba kiểu chức năng được cung cấp bởi các khóa lẻ là:

a) “nhập” hoặc “nhập hoàn thành”;

b) “xóa” phần nhập;

...

...

...

Trong phần bổ sung của bất kỳ các bản in khắc chỉ báo cho chức năng của các khóa, khuyến khích các khóa sử dụng màu như sau:

a) Màu xanh lục cho “nhập";

b) Màu vàng cho “xóa”;

c) Màu đỏ cho “từ chối”.

trong khi các khóa chức năng được sắp xếp theo chiều dọc, chúng được đặt tại bên phải của các khóa số với khóa “từ chối” ở trên cùng, khóa “xóa” nằm ở giữa và khóa “nhập” nằm ở dưới cùng. Khi sắp xếp theo chiều ngang, cùng thứ tự được sử dụng với khóa “từ chối" ở bên trái, và khóa “nhập" ở bên phải và khóa “xóa” nằm ở giữa. Để hỗ trợ cho các khách hàng bị mù hoặc gần mù, khuyến khích nên dùng khóa “5" có khả năng tăng các nhận dạng điểm hoặc xúc giác khác trên nó.

VÍ DỤ 1: Thiết bị nhập mã PIN dạng số với các khóa chức năng đặt tại 2 hàng ngang:

1

2

3

...

...

...

5

6

7

8

9

Đỏ

0

Xanh lục

VÍ DỤ 2: Thiết bị nhập mã PIN dạng số mã ANSI ban đầu với các khóa chức năng được xếp hàng dọc.

...

...

...

ABC

DEF

ĐỎ

1

2

3

GHI

JKL

...

...

...

VÀNG

4

5

6

PRS

TUV

WXY

XANH LỤC

...

...

...

8

9

0

VÍ DỤ 3: Thiết bị nhập mã PIN dạng số mã ITU-E.161 ban đầu với các khóa chức năng xếp hàng dọc.

...

...

...

ABC

DEF

ĐỎ

1

2

3

GHI

JKL

...

...

...

VÀNG

4

5

6

PQRS

TUV

WXYZ

XANH LỤC

...

...

...

8

9

0

E.3 Sự tách biệt trong khi nhập mã PIN

Việc quan sát trực quan các mã PIN là cách thông thường nhất để xâm nhập mã PIN. Sự tách biệt trong khi nhập mã PIN có thể đạt được bằng cách kết hợp ca pô trên các nút hoặc bằng cách định vị các thiết bị nhập mã PIN sao cho khi nhập mã PIN các khóa được che chắn bằng chính cơ thể khách hàng. Ví dụ: khi sử dụng các thiết bị nhập mã PIN giữ bằng tay. Cần chú ý đặc biệt đến ngăn chặn việc ghi lại có thể xảy ra khi nhập mã PIN bởi máy quay video.

...

...

...

Các mối liên hệ được mô tả dưới đây giữa tập các ký tự khách hàng đã biết (nó có thể là chữ cái, số hoặc cả hai) và các mã nhị phân bên trong. Các ký tự chữ cái chỉ đồng nghĩa với các số thập phân và không phân biệt bởi thiết bị đầu cuối hay hệ thống mạng. Bảng E.1 và Bảng E.2 cho biết ánh xạ chữ cái số mã ANSI và ITU-E 161.

Bên phát hành thẻ cần thực hiện ánh xạ theo bảng chữ cái "Q” và “Z” để số thập phân thay đổi quốc tế. Khuyến khích rằng nếu số PIN không phải là số thì sẽ được sử dụng trao đổi xen kẽ quốc tế, sau đó bên phát hành có trách nhiệm thông báo cho khách hàng của họ.

Bảng E.1 - Ánh xạ chữ thành số ANSI

Bảng chữ cái khách hàng đã biết

Số thập phân khách hàng đã biết

Số nhị phân bên trong

0

0000

...

...

...

1

0001

ABC

2

0010

DEF

3

0011

GHI

...

...

...

0100

JKL

5

0101

MNO

6

0110

PRS

7

...

...

...

TUV

8

1000

WXY

9

1001

CHÚ THÍCH: ANSI không có quyền ánh xạ chữ thành số đối với số không.

Bảng E.2 - Ánh xạ chữ thành số ITU-E.161

Bảng chữ cái khách hàng đã biết

...

...

...

Số nhị phân bên trong

0

0000

1

0001

ABC

2

...

...

...

DEF

3

0011

GHI

4

0100

JKL

5

0101

...

...

...

6

0110

PQRS

7

0111

TUV

8

1000

WXYZ

...

...

...

1001

CHÚ THÍCH: ITU không có quyền ánh xạ chữ thành số đối với số 0 và 1.

Phụ lục F

(Tham khảo)

Hướng dẫn xóa và các bước phá hỏng dữ liệu nhạy cảm

F.1 Mục đích

Để hướng dẫn thiết lập trên các loại xóa giống nhau (sự zerô hóa) (ví dụ sự khử từ, xóa và ghi đè), xáo và các bước phá hỏng đối với vật liệu lưu trữ được sử dụng sao cho sự truy cập không được phép hoặc xâm nhập vào dữ liệu đều bị ngăn chặn.

F.2 Tổng quan

...

...

...

F.3 Băng từ

Băng từ là được zerô hóa bằng các máy móc khử từ hoặc kỹ thuật có khả năng khử từ khác. Băng từ có thể bị xóa bằng ghi đè trong một lần với bất kỳ một ký tự nào. Tuy nhiên băng từ đã xóa trở thành được phòng hộ, điều khiển và đánh dấu trên các bậc tương ứng với các thông tin nhạy cảm nhất được ghi lại trên chúng trước khi chúng được thông qua để phá hủy. Trước khi thông qua để zerô hóa băng từ, nó được đưa ra cho hai vòng khử từ và rồi mới ra khỏi guồng, sau đó được phá hủy bởi sự phân rã của các phần 9 mm hoặc nhỏ hơn hoặc bị thiêu đốt.

F.4 Bộ đăng ký, bộ đệm và bộ nhớ trong

Bộ đăng ký, bộ đệm và bộ nhớ trong được zerô hóa đầu tiên bằng cách sử dụng phần cứng chuyển đổi xóa hoặc mạch thiết lập tắt/mở nguồn, và sau đó bị ghi đè tất cả các vị trí bit dữ liệu chuyển thành dữ liệu ngẫu nhiên cho 1000 mạch. Việc xác minh định kỳ được thực hiện để đảm bảo rằng (các) phương pháp hoạt động chính xác. Xác minh thành công việc nhập khi ghi đè thông qua một phần cứng sao lưu - đọc ra ngẫu nhiên hoặc thông qua các thiết bị xác minh khác. Cuối cùng, tất cả các vị trí sẽ được ghi đè với dữ liệu ngẫu nhiên không nhạy cảm và đã được xác minh.

F.5 Bộ nhớ bán dẫn

a) Bộ nhớ truy cập Ngẫu nhiên (RAM) là mạch được khởi động bằng cách dùng mạch thiết lập tắt/mở nguồn. Vùng lưu trữ được ghi đè bằng cách thiết lập lần lượt từng vị trí bit dữ liệu thành zerô (không) sau đó tất cả chia cho 1000 mạch. Việc xác minh định kỳ để đảm bảo rằng phương pháp hoạt động chính xác. Việc xác minh làm trên định dạng của mẫu ngẫu nhiên hoặc sử dụng một chương trình đọc và so sánh. Cuối cùng, tất cả các vị trí đều được ghi đè với dữ liệu không nhạy cảm và đã được xác minh.

b) Bộ nhớ chỉ đọc có thể Lập trình Xóa (EPROM) là mạch được khởi động bằng cách dùng kỹ thuật xóa theo mảng bằng cách chiếu tia cực tím. Quá trình zerô hóa được xác minh. Tất cả các vị trí lưu trữ đều được ghi đè bằng dữ liệu không nhạy cảm ngẫu nhiên và đã được xác minh.

c) Bộ nhớ chỉ đọc Khả hiểu điện tử (EAROM) là mạch được khởi động bằng cách phát xung toàn bộ các cổng. Quá trình zerô hóa được xác minh. Tất cả các vị trí lưu trữ bị ghi đè bằng dữ liệu không nhạy cảm ngẫu nhiên và đã được xác minh.

d) Bộ nhớ chỉ đọc có thể Lập trình Xóa bằng điện (EEPROM) được khởi động bằng cách phát xung các cổng kiểm soát xáo. Quá trình zerô hóa được xác minh. Tất cả các vị trí lưu trữ bị ghi đè bằng dữ liệu không nhạy cảm ngẫu nhiên và đã được xác minh.

...

...

...

F.6 Vật liệu giấy

Vật liệu giấy bị phá hủy bằng cách đốt, tán miếng hoặc cắt thành các miếng nhỏ. Khi vật liệu bị tán miếng, tất cả phần còn lại thành các miếng 5 mm hoặc nhỏ hơn. Khi vật liệu bị đốt, phần còn lại là tro trắng.

F.7 Trục cuộn và duy băng

Các trục cuộn và duy băng máy in bị tháo ra từ máy tin trước khi máy in được thông qua. Trục cuộn (chỉ có bề mặt cao su được lấy ra để phá hỏng) và các duy băng thì bị phá hủy (ví dụ như đốt thành tro).

Phụ lục G

(Tham khảo)

Thông tin cho khách hàng

Bên phát hành phải cung cấp cho các khách hàng có thẻ và mã PIN liên quan các thông tin về các điều quan trọng về mã PIN và bảo mật mã PIN. Trong trường hợp riêng biệt, các thông tin sau đây cần được cung cấp:

...

...

...

b) Khách hàng không bao giờ được nhập mã PIN bằng bàn phím điện thoại, ngoại trừ điện thoại thỏa mãn các yêu cầu đối với thiết bị nhập mã PIN được quy định tại Điều 5, và đối với an ninh giao tiếp được quy định tại 8.2.

c) Khi khách hàng lựa chọn hoặc chuyển mã PIN, họ cần thực hiện đảm bảo các điều sau:

1) Việc lựa chọn mã PIN không có giá trị dễ biết từ khách hàng (ví dụ tên riêng, số điện thoại, ngày sinh...);

2) Khi lựa chọn giá trị mã PIN không nên chọn:

- Một chuỗi số tài khoản in nổi;

- Cùng một chuỗi số;

- Tăng hoặc giảm các số liên tiếp;

- Ngày có ý nghĩa trong đời;

- Chuỗi ký tự theo bảng chữ cái (chữ cái) ít hơn 6 ký tự;

...

...

...

3) Các thông tin tự nguyện là không bao gồm trên hoặc với các dạng lựa chọn mã PIN.

d) Khi thay đổi mã PIN ban đầu của khách hàng bắt đầu có hiệu lực, phải có thông báo về thay đổi này, nhưng không có giá trị mã PIN, như gửi thư cho khách hàng. Thông báo có chứa các hướng dẫn để liên hệ với bên phát hành có trách nhiệm nếu việc thay đổi không được yêu cầu từ bên khách hàng.

e) Khách hàng cần đảm bảo nhập mã PIN mà người khác không thể nhìn thấy.

f) Các khách hàng mà bên phát hành trợ giúp lựa chọn mã PIN theo chữ - số được đảm bảo từ bên phát hành rằng nó không thể bị sử dụng giá trị nào khác giá trị mã PIN theo số trong hệ thống khác của bên phát hành.

g) Khách hàng phải đảm bảo nhớ mã PIN và không viết nó ra trên thẻ hoặc viết nó trên giấy được lưu trữ cùng với thẻ.

h) Các khách hàng phải đảm bảo rằng thông báo với bên phát hành nếu mã PIN được gửi thư đến đã bị mở từ trước hoặc không nhận được.

MỤC LỤC

1. Phạm vi áp dụng

...

...

...

3. Thuật ngữ và định nghĩa

4. Nguyên tắc cơ bản của quản lý mã PIN

5. Thiết bị nhập mã PIN

5.1. Tập ký tự

5.2. Biểu diễn ký tự

5.3. Nhập mã PIN

5.4. Xem xét về đóng gói

6. Vấn đề bảo mật mã PIN

6.1. Yêu cầu kiểm soát mã PIN

...

...

...

6.3. Bảo mật vật lý

7. Kỹ thuật quản lý và bảo vệ chức năng mã PIN có liên quan đến tài khoản

7.1. Chiều dài mã PIN

7.2. Lựa chọn mã PIN

7.3. Phát hành và phân phối mã PIN

7.4. Thay đổi mã PIN

7.5. Xử lý vật liệu rác và phong bao mã PIN được hoàn trả

7.6. Kích hoạt mã PIN

7.7. Lưu trữ mã PIN

...

...

...

8. Kỹ thuật quản lý/bảo vệ các chức năng mã PIN giao dịch

8.1. Nhập mã PIN

8.2. Bảo vệ mã PIN trong quá trình giao dịch

8.3. Định dạng khổ mã PIN chuẩn

8.4. Định dạng khối mã PIN khác

8.5. Kiểm tra xác nhận mã PIN

8.6. Nhật ký giao dịch/ chuyển giao có chứa dữ liệu mã PIN

9. Phê chuẩn quy trình mã hóa thuật toán

Phụ lục A (tham khảo) Các nguyên tắc chung về quản lý khóa

...

...

...

Phụ lục C (tham khảo) Thiết bị nhập mã PIN để mã hóa mã PIN trực tuyến

Phụ lục D (tham khảo) Ví dụ về việc tạo mã PIN ngẫu nhiên giả

Phụ lục E (tham khảo) Hướng dẫn bổ sung về thiết kế thiết bị nhập mã PIN

Phụ lục F (tham khảo) Hướng dẫn xóa và các bước phá hỏng dữ liệu nhạy cảm

Phụ lục G (tham khảo) Thông tin cho khách hàng