PCI PIN v3.1 变更说明

2021-03-25

2021年3月12日支付卡产业安全标准标委会(PCI SSC: Payment Card Industry Security Standards Council)正式发布了PCI PIN v3.1标准。这是根据近两年产业内各个机构的反馈意见,针对2018年8月发布的PCI PIN v3.0标准的更新。

v3.1版本的强制使用日期由各个卡品牌来定义,目前Visa已经发布了实施日期要求:

1. v3.1版本从发布之日起,即刻生效。
2. 从2021年10月1日起,所有提交到Visa的新评估必须遵循v3.1标准。
3. 从2022年1月1日起,Visa不再接受v3.0的PIN AOC证明。

本文,atsec作者将针对重要变更点进行简要的说明:

0x01 针对各大章节的总体描述部分的更新

## Overview:v3.0中定义了所有主机2023年1月1日后必须支持ISO PIN Block Format 4的解密,2025年1月1日后必须支持ISO PIN Block Format 4的加密。但由于产业的反馈,目前在该期限内实现的困难较大。因此在v3.1中,对ISO PIN Block Format 4 强制支持的生效日期,暂时不做定义,等待未来的通知。

## Annex A:新增了对ANSI TR 34方法的进一步说明,介绍了该协议的一些典型特征,比如KDH和KRD的证书必须由共同的CA签发。

## Annex B:增加了文字来澄清什么情况下KIF是适用于Annex A的。强调了非远程密钥加载的情况,即使用到了证书相关的方法,Annex A也是不适用的。

## Normative Annex C:对Annex C做了全面的更新。重新调整了文字描述,规定了PIN中强制要求的算法和最小的算法长度。RSA的最小接受的算法长度调整为2048 bits。强调了PIN中允许的算法是基于“NIST SP 800-57 Part 1 Rev. 4, Section 4”中批准的算法。其强调了SHA1禁止用于数字签名。TLS的实现中的算法套件必须采用Annex C中所允许的那些算法。对FFC,ECC中的相关算法参数(包括g,p,q,d,Q等)也做了最小长度上的说明。

0x02 对于加密机认证要求的更新

## 由于FIPS 140-3已经于2020年9月22日正式生效,PIN标准中对HSM设备的资质要求,在原有基础上添加了对FIPS 140-3资质的接受。(参见PCI PIN要求1-3,1-4)

## 有些获得PCI PTS认可的HSM是在某些限制条件下获得的认证,因此,只有将这种HSM部署在受控环境或更健壮(例如,安全)环境中时(该环境的定义需要遵照ISO 13491-2和该HSM的安全策略中的定义),该批准才有效。(参见PCI PIN要求1-3)

## 澄清了KIF必须使用满足SCD要求的加密机去进行注入密钥的操作。(参见PCI PIN要求1-2)

## 对于密钥生成设备的资质,在原有基础上添加了对FIPS 140-3资质的接受。(参见PCI PIN要求5-1)

0x03 几个实施日期的变更

## 对Key block推动进程中的phase2和phase3的生效日期都推迟了两年。(参见PCI PIN要求18-3)

## 在KIF中,禁止使用明文密钥注入方法的强制实施日期与先前发布的PCI公告对齐。相比于v3.0标准,该公告将两个阶段的实施日期都推迟了三年(第一阶段的实施日期推迟到2024年1月1日,第二阶段的实施日期推迟到2026年1月1日)。并且适用性从POI v3和更高版本的设备更改为POI v5和更高版本的设备。在此次标准更新中,标委会将该公告的内容更新到了标准v3.1中。(参见PCI PIN要求32-9)

0x04 其他几个变更

## 明确了私钥必须出现在通过了“PCI PTS or FIPS 140-2/140-3 level 3”认证的设备中。并且要由满足Annex C的算法进行加密。(参见PCI PIN要求21-4)

## 增加了对SCRP devices的RSA算法长度最小要求是2048 bits。(参见PCI PIN要求22-5)

## 打印密钥的打印机必须放置在安全房中,增加了对该安全房的具体要求。(参见PCI PIN要求6.3.1 - 6.3.9)

## 还有其他一些变更,都是对原文的一些澄清和纠正。本身要求并没有变化。(包括PCI PIN要求10-1,13-9.4.9,15-1,26-1,29-1,32-1等)

针对PCI PIN标准的任何问题和探讨,欢迎联系atsec信息安全。