BLOG

クレジットカード業界やPCI DSSに関する最新動向をお届けします

2018.10.01

DUKPTによる暗号化の仕組み

  • このエントリーをはてなブックマークに追加

DUKPT(Delivered Unique Key Per Transaction)は、米国国家規格協会の「ANSI X9.24 Part1」として規定されている、暗号化のためのプロトコルだ。トランザクションごとに異なる暗号鍵による暗号化処理を行うことが大きな特徴である。

サーバー側で保持しているシステム鍵(Base Derivation Key:BDK)を用いて決済トランザクションごとに異なる暗号鍵を生成する。決済端末の初期設定時に、端末ベンダーが端末固有ID情報をサーバーに渡し、サーバー側はそれを基に端末用の初回鍵を作成する。

決済端末側では、初期化などのタイミングで初回鍵をインストールして、暗号化鍵の基になる鍵セット(Future Key Set:FKS)を作成した後、初回鍵を破棄する。暗号化を実行する際には、初期設定後に暗号化を実行した回数が格納されるトランザクションカウンターの数値(トランザクション番号)を基にFKSの中から使用するFuture Keyを選び、それを使って暗号鍵を作成する。その暗号鍵を使用してFKSも更新し、処理後に当該暗号鍵は破棄される。サーバーに情報を送る際に、トランザクション番号と端末固有IDを送れば、サーバー側で保存していたBDKから端末が暗号化で使った鍵を計算で求められる。

▼ DUKPTの暗号鍵生成の仕組み


万が一、システムが侵害されて暗号化されたカード情報が解読されたとしても、ほかのカード情報は解読できない。決済トランザクションごとに別の暗号鍵が使われているためだ。攻撃者に流出するのは無価値化した情報になるため、正規のカード情報が大量に流出するリスクが極めて小さくなるといわれている。

(fjコンサルティング代表取締役CEO 瀬田陽介)

※出所:書籍『改正割賦販売法でカード決済はこう変わる』(日経BP社、2018年4月発行)から著者および出版社の許諾を得て転載

    ■書籍の詳細はこちら(日経BP社):改正割賦販売法でカード決済はこう変わる

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加