DUKPTによる暗号化の仕組み | PCI DSS Ready Cloud

2018.10.01

DUKPTによる暗号化の仕組み

  • このエントリーをはてなブックマークに追加
PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。是非一度、ご相談ください。


DUKPT(Delivered Unique Key Per Transaction)は、米国国家規格協会の「ANSI X9.24 Part1」として規定されている、暗号化のためのプロトコルだ。トランザクションごとに異なる暗号鍵による暗号化処理を行うことが大きな特徴である。
サーバー側で保持しているシステム鍵(Base Derivation Key:BDK)を用いて決済トランザクションごとに異なる暗号鍵を生成する。決済端末の初期設定時に、端末ベンダーが端末固有ID情報をサーバーに渡し、サーバー側はそれを基に端末用の初回鍵を作成する。

決済端末側では、初期化などのタイミングで初回鍵をインストールして、暗号化鍵の基になる鍵セット(Future Key Set:FKS)を作成した後、初回鍵を破棄する。暗号化を実行する際には、初期設定後に暗号化を実行した回数が格納されるトランザクションカウンターの数値(トランザクション番号)を基にFKSの中から使用するFuture Keyを選び、それを使って暗号鍵を作成する。その暗号鍵を使用してFKSも更新し、処理後に当該暗号鍵は破棄される。サーバーに情報を送る際に、トランザクション番号と端末固有IDを送れば、サーバー側で保存していたBDKから端末が暗号化で使った鍵を計算で求められる。

▼ DUKPTの暗号鍵生成の仕組み
万が一、システムが侵害されて暗号化されたカード情報が解読されたとしても、ほかのカード情報は解読できない。決済トランザクションごとに別の暗号鍵が使われているためだ。攻撃者に流出するのは無価値化した情報になるため、正規のカード情報が大量に流出するリスクが極めて小さくなるといわれている。

(共著:fjコンサルティング代表取締役CEO 瀬田陽介
PCI Security Standard Council アソシエイト・ダイレクター 日本 井原亮二)

※出所:書籍『改正割賦販売法でカード決済はこう変わる』(日経BP社、2018年4月発行)から著者および出版社の許諾を得て転載

    ■書籍の詳細はこちら(日経BP社):改正割賦販売法でカード決済はこう変わる

 

PCI DSS Ready Cloudによる PCI DSS準拠 事例

 








 
 
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud

■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
PCI DSS Ready Cloud マネージドモデルはこちら
 
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
PCI DSS Ready Cloud AWSモデルはこちら
 
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
PCI DSS準拠支援コンサルティングはこちら
 
【関連記事】
PCI DSSとは?準拠が必要な企業とセキュリティ対策をガイダンス
【動画付き】PCI DSS バージョン4.0の特徴や変更点を解説
 

監修者
 瀬田 陽介氏
fjコンサルティング株式会社
代表取締役CEO

 
PCI DSSの認定評価機関(QSA)代表、日本初のPCI SSC認定フォレンジック機関(PFI)ボードメンバーを経て2013年fjコンサルティング株式会社を設立。キャッシュレスやセキュリティのコンサルタントとして、講演・執筆活動を行う。直近の著書『改正割賦販売法でカード決済はこう変わる』(日経BP社)。

 

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加