Banking — Key management (retail) — Part 6: Key management schemes

Banque — Gestion de clés (services aux particuliers) — Partie 6: Schémas de gestion de clés

La présente partie de l'ISO 11568 contient des descriptions de schémas de gestion de clés qui ont été présentés par les organismes nationaux de normalisation des pays membres comme pouvant convenir à la mise en oeuvre dans le cadre des services bancaires aux particuliers.Chaque description a uniquement pour but de donner un aperçu du schéma de gestion de clé considéré. A cet effet, elle met en évidence les principales caractéristiques du schéma, les techniques particulières employées et d'autres informations utiles.De plus amples informations concernant ces schémas peuvent être trouvées dans les documents cités en référence dans chaque description.

General Information

Status
Withdrawn
Publication Date
08-Jul-1998
Withdrawal Date
08-Jul-1998
Current Stage
9599 - Withdrawal of International Standard
Completion Date
10-Feb-2004
Ref Project

Buy Standard

Standard
ISO 11568-6:1998 - Banking -- Key management (retail)
English language
11 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO 11568-6:1998 - Banque -- Gestion de clés (services aux particuliers)
French language
12 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (Sample)

INTERNATIONAL ISO
STANDARD 11568-6
First edition
1998-07-15
Banking — Key management (retail) —
Part 6:
Key management schemes
Banque — Gestion de clés (services aux particuliers) —
Partie 6: Schémas de gestion de clés
Reference number
A
ISO 11568-6:1998(E)

---------------------- Page: 1 ----------------------
ISO 11568-6:1998(E)
Contents
1 Scope .1
2 Normative references .1
3 Definitions .2
4 Generic overview of retail banking key management schemes.2
5 List of key management schemes .2
Annex A (informative) Description of key management schemes .3
Annex B (informative) Bibliography .11
©  ISO 1998
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced
or utilized in any form or by any means, electronic or mechanical, including photocopying and
microfilm, without permission in writing from the publisher.
International Organization for Standardization
Case postale 56 • CH-1211 Genève 20 • Switzerland
Internet iso@iso.ch
Printed in Switzerland
ii

---------------------- Page: 2 ----------------------
©
ISO ISO 11568-6:1998(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO
member bodies). The work of preparing International Standards is normally carried out through ISO technical
committees. Each member body interested in a subject for which a technical committee has been established has
the right to be represented on that committee. International organizations, governmental and non-governmental, in
liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical
Commission (IEC) on all matters of electrotechnical standardization.
Draft International Standards adopted by the technical committees are circulated to the member bodies for voting.
Publication as an International Standard requires approval by at least 75 % of the member bodies casting a vote.
International Standard ISO 11568-6 was prepared by Technical Committee ISO/TC 68, Banking, securities and
other financial services, Subcommittee SC 6, Retail financial services.
ISO 11568 consists of the following parts, under the title Banking — Key management (retail):
 Part 1: Introduction to key management
 Part 2: Key management techniques for symmetric ciphers
 Part 3: Key life cycle for symmetric ciphers

Part 4: Key management techniques using public key cryptography
 Part 5: Key life cycle for public key cryptosystems
 Part 6: Key management schemes
Annexes A and B of this part of ISO 11568 are for information only.
iii

---------------------- Page: 3 ----------------------
©
ISO 11568-6:1998(E) ISO
Introduction
ISO 11568 is one of a series of standards describing procedures for the secure management of the cryptographic
keys used to protect messages in a retail banking environment, for instance, messages between an acquirer and a
card acceptor, or an acquirer and a card issuer. Management of keys used in an Integrated Circuit Card (ICC)
environment is not covered by ISO 11568 but will be addressed in another ISO standard.
Whereas key management in a wholesale banking environment is characterized by the exchange of keys in a
relatively high-security environment, this standard addresses the key management requirements that are applicable
in the more accessible domain of retail banking services. Typical of such services are point-of-sale/point-of-service
(POS) debit and credit authorizations and automated teller machine (ATM) transactions.
ISO 11568 is a multi-part standard.
This part of ISO 11568 provides general information and criteria concerning key management schemes for use in a
retail banking environment. Annex A provides a description of certain key management schemes that are
considered by ISO members as suitable for implementation in the retail banking environment.
iv

---------------------- Page: 4 ----------------------
INTERNATIONAL STANDARD  © ISO ISO 11568-6:1998(E)
Banking — Key management (retail) —
Part 6:
Key management schemes
1 Scope
This part of ISO 11568 contains descriptions of key management schemes that have been submitted by national
standards bodies of member countries as suitable for implementation in retail banking environments.
Each description is intended only to provide an overview of the key management scheme, pointing out its main
characteristics, the particular techniques employed and other useful information.
More detailed information about these schemes is to be found in the documents named as reference material within
each description.
2 Normative references
The following standards contain provisions which, through reference in this text, constitute provisions of this part of
ISO 11568. At the time of publication, the editions indicated were valid. All standards are subject to revision, and
parties to agreements based on this part of ISO 11568 are encouraged to investigate the possibility of applying the
most recent editions of the standards indicated below. Members of IEC and ISO maintain registers of currently valid
International Standards.
ISO 8908:1993, Banking and related financial services — Vocabulary and data elements.
ISO/IEC 9796:1991, Information technology — Security techniques — Digital signature scheme giving message
recovery.
ISO/IEC 9798-3:1993, Information technology — Security techniques — Entity authentication mechanisms —
Part 3: Entity authentication using a public key algorithm.
ISO/IEC 10118 (all parts), Information technology — Security techniques — Hash functions.
ISO 11166 (all parts), Banking — Key management by means of asymmetric algorithms.
ISO 11568-1:1994, .
Banking — Key management (retail) — Part 1: Introduction to key management
1)
ISO/IEC 11770:— , Information technology — Security techniques — Key management — Part 3: Mechanisms
using asymmetric techniques.
1)
ISO 13491-1:— , Banking — Secure cryptographic devices (retail) — Part 1: Concepts, requirements and
evaluation methods.
1)
ISO 13491-2:— , Banking — Secure cryptographic devices (retail) — Part 2: Security compliance checklists for
devices used in magnetic stripe card systems.
___________
1)  To be published.
1

---------------------- Page: 5 ----------------------
©
ISO
ISO 11568-6:1998(E)
3 Definitions
For the purposes of this part of ISO 11568, the definitions given in ISO 8908 apply.
4 Generic overview of retail banking key management schemes
A key management scheme is a set of rules that define how cryptographic keys in retail banking systems are to be
created, distributed, used and replaced.
The objective of a key management scheme is to ensure that cryptographic keys are managed in such a way that
the data that is ultimately to be protected will be safeguarded from potential compromise resulting from non-secure
creation, transfer, use or replacement of cryptographic keys.
In order to accomplish this objective, key management schemes shall employ key management techniques
described in ISO 11568-2 and ISO 11568-4.
Secure cryptographic devices, as described in ISO 13491, shall be used to provide the intended level of security.
The requirements and implementation of the phases of the life cycle of cryptographic keys are addressed in
ISO 11568-3 and ISO 11568-5.
Key management schemes may employ symmetric, asymmetric or hybrid techniques.
A key management scheme shall conform to the key management principles set out in ISO 11568-1.
5 List of key management schemes
The following key management schemes are described in annex A of this part of ISO 11568.
 A.1 Inter-bank key management scheme (France)
 A.2 Transaction key management scheme (UK)
 A.3 Derived unique key per transaction scheme (USA)
 A.4 Telematic Base Security Standard (Switzerland)
 A.5 Terminal to Acquirer Key Management — Transaction Keys (Australia)
 A.6 Node to Node Key Management — Session Keys (Australia)
 A.7 Terminal to Acquirer Key Management — Session Keys (Australia)
 A.8 Terminal Cryptographic Unit Initialization using Asymmetric Cipher (Australia)
2

---------------------- Page: 6 ----------------------
© ISO
ISO 11568-6:1998(E)
Annex A
(informative)
Description of key management schemes
A.1  Inter-bank key management scheme
RETAIL BANKING — KEY MANAGEMENT SCHEMES
(to be used in conjunction with ISO 11568-6)
NAME OF KEY MANAGEMENT SCHEME: Inter-Bank Key Management Scheme
SUBMITTED BY: AFNOR (France)
ASSOCIATED ALGORITHM(S): DEA
DESCRIPTION OF SCHEME:
Master Key.
Connection Keys: Cryptoperiod is several years.
Key encipherment keys: This is an optional layer in the key hierarchy for use in high-volume systems.
Cryptoperiod is 3 times the cryptoperiod of data keys — less one day. This is 3 months at the most.
Data keys (= Session keys): Automatically generated and distributed every "n" days — 31 days at the most.
These keys are:
 PIN Encryption key
 MAC key
NOTE This implementation is a variation of Master Key/Session Key.
KNOWN IMPLEMENTATIONS: Inter-bank network in France.
TECHNICAL REFERENCES: Groupement Cartes Bancaires STUR RCB.
3

---------------------- Page: 7 ----------------------
©
ISO
ISO 11568-6:1998(E)
A.2  Transaction key management scheme
RETAIL BANKING — KEY MANAGEMENT SCHEMES
(to be used in conjunction with ISO 11568-6)
NAME OF KEY MANAGEMENT SCHEME: APACS 40 TRANSACTION KEY
SUBMITTED BY:
APACS, U.K.
ASSOCIATED ALGORITHM(S): DEA (as defined in ANSI X3.92)
DESCRIPTION OF SCHEME:
The scheme carries out the functions of:
a) Message authentication — producing 32-bit MAC's in accordance with ANSI X9.19.
b) PIN encryption — using a PIN/PAN block format in accordance with ANSI X9.8.
Key Management
Separate keys are used for the two functions. The keys are updated for each transaction using card data, a
key register and a one-way function. The key register is updated at the terminal and the host using MAC
residues.
Messages within a transaction are linked by including the MAC residue from the previous message in the
MAC calculation.
End-to-end and "break forward" protection for PIN's can be acheived by omitting some of the card data from
the transmitted messages.
NOTE This implementation is a variation on Non-Reversibly Transformed unique key per Transaction.
KNOWN IMPLEMENTATIONS: U.K.
TECHNICAL REFERENCES: APACS Standard 40: Acquirer Interface Requirements for Electronic Data
Capture Terminals: Data Capture Terminals: Part 3, Section 3 — Security.
4

---------------------- Page: 8 ----------------------
© ISO
ISO 11568-6:1998(E)
A.3  Derived unique key per transaction scheme
RETAIL BANKING — KEY MANAGEMENT SCHEMES
(to be used in conjunction with ISO 11568-6)
NAME OF KEY MANAGEMENT SCHEME: Derived Unique Key per Transaction
SUBMITTED BY:
U.S.A.
ASSOCIATED ALGORITHM(S): DEA
DESCRIPTION OF SCHEME:
A unique key is generated for each transaction.
A Security Management Information Data element (SMID) resides in each terminal and in each acquirer
security module.
A SMID contains:
 key set identifier (KSID) that identifies/designates base key;
 tamper resistant security module (TRSM) ID that enables acquirer to compute initially;
 loaded key;
 transaction counter, incremented with each transaction using cryptography.
Terminal derives (i.e. creates) a new transaction key from previous transaction key.
Based on data in its SMID, acquirer can compute transaction key for any transaction from any terminal to
which it is linked.
KNOWN IMPLEMENTATIONS: U.S.A.
TECHNICAL REFERENCES: ANSI X9.24.
5

---------------------- Page: 9 ----------------------
©
ISO
ISO 11568-6:1998(E)
A.4  Telematic Base Security Standard
RETAIL BANKING — KEY MANAGEMENT SCHEMES
(to be used in conjunction with ISO 11568-6)
NAME OF KEY MANAGEMENT SCHEME: Telematic Base Security Standard (TBSS)
SUBMITTED BY: National Body of Switzerland
ASSOCIATED ALGORITHM(S): RSA, RIPEMD
DESCRIPTION OF SCHEME:
The TBSS specifies services and mechanisms required to secure telebanking services. All mechanisms follow
international standards (or drafts), limit the options allowed therein and specify algorithms to be used
...

NORME ISO
INTERNATIONALE 11568-6
Première édition
1998-07-15
Banque — Gestion de clés (services aux
particuliers) —
Partie 6:
Schémas de gestion de clés
Banking — Key management (retail) —
Part 6: Key management schemes
A
Numéro de référence
ISO 11568-6:1998(F)

---------------------- Page: 1 ----------------------
ISO 11568-6:1998(F)
Sommaire Page
1 Domaine d’application .1
2 Références normatives .1
3 Définitions .2
4 Présentation générique des schémas de gestion de clés dans le cadre des services bancaires
  aux particuliers .2
5 Liste des schémas de gestion de clés.2
Annexe A (informative) Description des schémas de gestion de clés.4
Annexe B (informative) Bibliographie .12
©  ISO 1998
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous quelque
forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit de l'éditeur.
Organisation internationale de normalisation
Case postale 56 • CH-1211 Genève 20 • Suisse
Internet iso@ iso.ch
Imprimé en Suisse
ii

---------------------- Page: 2 ----------------------
© ISO
ISO 11568-6:1998(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée aux
comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du comité
technique créé à cet effet. Les organisations internationales, gouvernementales et non gouvernementales, en
liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec la Commission
électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les projets de Normes internationales adoptés par les comités techniques sont soumis aux comités membres pour
vote. Leur publication comme Normes internationales requiert l'approbation de 75 % au moins des comités
membres votants.
La Norme internationale ISO 11568-6 a été élaborée par le comité technique ISO/TC 68, Banque, valeurs
mobilières et autres services financiers, sous-comité SC 6, Services financiers liés à la clientèle.
L'ISO 11568 comprend les parties suivantes, présentées sous le titre général Banque — Gestion de clés (services
aux particuliers):
 Partie 1: Introduction à la gestion de clés
 Partie 2: Techniques de gestion de clés pour les algorithmes cryptographiques symétriques
 Partie 3: Cycle de vie des clés pour les algorithmes cryptographiques symétriques
 Partie 4: Techniques de gestion de clés utilisant les systèmes cryptographiques à clé publique
 Partie 5: Cycle de vie des clés pour les systèmes cryptographiques à clé publique
 Partie 6: Schémas de gestion de clés
Les annexes A et B de la présente partie de l'ISO 11568 sont données uniquement à titre d'information.
iii

---------------------- Page: 3 ----------------------
© ISO
ISO 11568-6:1998(F)
Introduction
L'ISO 11568 fait partie d'un ensemble de normes décrivant les procédures de gestion sécurisée de clés
cryptographiques utilisées pour protéger les messages dans le cadre des services bancaires aux particuliers,
notamment les messages échangés entre un acquéreur et un accepteur de carte d'une part, et entre un acquéreur
et un émetteur de carte d'autre part. La gestion des clés utilisées dans un environnement de cartes à circuit intégré
(ICC) n'est pas couverte par l'ISO 11568, mais fera l'objet d'une autre Norme internationale.
Alors que la gestion de clés dans le cadre des services bancaires aux entreprises se caractérise par l'échange de
clés dans un environnement relativement bien sécurisé, la présente norme prescrit les besoins de gestion de clés,
applicables dans des domaines ouverts qui sont les services bancaires aux particuliers tels que les autorisations de
crédit et de débit aux points de vente / points de service et les transactions aux guichets automatiques de banques
(GAB).
L'ISO 11568 est une norme en plusieurs parties.
La présente partie de l'ISO 11568 fournit des informations générales et des critères concernant les schémas de
gestion de clés à utiliser dans le cadre des services bancaires aux particuliers. L'annexe A contient une description
de certains schémas de gestion de clés, que les membres de l'ISO considèrent adaptés au domaine des services
bancaires aux particuliers.
iv

---------------------- Page: 4 ----------------------
NORME INTERNATIONALE  © ISO ISO 11568-6:1998(F)
Banque — Gestion de clés (services aux particuliers) —
Partie 6:
Schémas de gestion de clés
1 Domaine d’application
La présente partie de l'ISO 11568 contient des descriptions de schémas de gestion de clés qui ont été présentés
par les organismes nationaux de normalisation des pays membres comme pouvant convenir à la mise en œuvre
dans le cadre des services bancaires aux particuliers.
Chaque description a uniquement pour but de donner un aperçu du schéma de gestion de clé considéré. A cet
effet, elle met en évidence les principales caractéristiques du schéma, les techniques particulières employées et
d'autres informations utiles.
De plus amples informations concernant ces schémas peuvent être trouvées dans les documents cités en
référence dans chaque description.
2 Références normatives
Les normes suivantes contiennent des dispositions qui, par suite de la référence qui en est faite, constituent des
dispositions valables pour la présente partie de l’ISO 11568. Au moment de la publication, les éditions indiquées
étaient en vigueur. Toute norme est sujette à révision et les parties prenantes des accords fondés sur la présente
partie de l’ISO 11568 sont invitées à rechercher la possibilité d'appliquer les éditions les plus récentes des normes
indiquées ci-après. Les membres de la CEI et de l'ISO possèdent le registre des Normes internationales en vigueur
à un moment donné.
ISO 8908:1993, Banque et services financiers connexes — Vocabulaire et éléments de données.
ISO/CEI 9796:1991, Technologies de l’information — Techniques de sécurité — Schéma de signature numérique
rétablissant le message.
ISO/CEI 9798-3:1993, Technologies de l’information — Techniques de sécurité — Mécanismes d’authentification
d’entité — Partie 3: Authentification d’entité utilisant un algorithme à clé publique.
, Technologies de l’information — Techniques de sécurité — Fonctions de brouillage —
ISO/CEI 10118-1:1994
Partie 1: Généralités
.
ISO/CEI 10118-2:1994, Technologies de l’information — Techniques de sécurité — Fonctions de brouillage —
Partie 2: Fonctions de brouillage utilisant un algorithme de chiffrement par blocs de n bits.
ISO/CEI 10118-3:1998, Technologies de l’information — Techniques de sécurité — Fonctions de brouillage —
Partie 3: Fonctions de hachage dédiées.
, Technologies de l’information — Techniques de sécurité — Fonctions de brouillage
ISO/CEI DIS 10118-4 —
Partie 4: Fonctions de hachage utilisant l’arithmétique modulaire.

ISO 11166-1:1994, Banque — Gestion des clés au moyen d’algorithmes asymétriques — Partie 1: Principes,
procédures et formats.
1

---------------------- Page: 5 ----------------------
© ISO
ISO 11568-6:1998(F)
ISO 11166-2:1994, Banque — Gestion des clés au moyen d’algorithmes asymétriques — Partie 2: Algorithmes
approuvés utilisant le système de cryptographique RSA.
Banque — Gestion de clés (services aux particuliers) — Partie 1: Introduction à la gestion de
ISO 11568-1:1994,
clés.
1)
ISO/CEI 11770-3:— , Technologies de l’information — Techniques de sécurité — Gestion des clés — Partie 3:
Mécanismes utilisant des techniques asymétriques.
1)
ISO 13491-1:— , Banque — Dispositifs cryptographiques de sécurité (services aux particuliers) — Partie 1:
Concepts, prescriptions et méthodes d’évaluation.
1)
ISO 13491-2:— , Banque — Dispositifs cryptographiques de sécurité (services aux particuliers) — Partie 2: Listes
de contrôle de conformité de sécurité pour les dispositifs utilisés dans les systèmes de cartes à bande magnétique.
3 Définitions
Pour les besoins de la présente partie de l'ISO 11568, les définitions données dans l'ISO 8908 s'appliquent.
4 Présentation générique des schémas de gestion de clés dans le cadre des services
bancaires aux particuliers
Un schéma de gestion de clés est un ensemble de règles qui définissent la manière de créer, de distribuer, d'utiliser
et de remplacer les clés cryptographiques utilisées dans les systèmes de services bancaires aux particuliers.
L'objectif d'un schéma de gestion de clés est de garantir que les clés cryptographiques sont gérées de manière que
les données à protéger soient préservées de tout danger lié à la création, au transfert, à l'utilisation ou au
remplacement non sécurisé de clés cryptographiques.
Pour atteindre cet objectif, les schémas de gestion des clés doivent utiliser les techniques de gestion de clés
décrites dans l'ISO 11568-2 et l'ISO 11568-4.
Des dispositifs cryptographiques sûrs, décrits dans l'ISO 13491, doivent être utilisés pour assurer le niveau de
sécurité recherché.
Les spécifications et la mise en œuvre des phases du cycle de vie des clés cryptographiques sont traitées dans
l'ISO 11568-3 et dans l'ISO 11568-5.
Les schémas de gestion de clés peuvent utiliser des techniques symétriques, asymétriques ou hybrides.
Tout schéma de gestion de clés doit respecter les principes de gestion de clés énoncés dans l'ISO 11568-1.
5 Liste des schémas de gestion de clés
Les schémas de gestion de clés ci-dessous sont décrits dans l'annexe A de la présente partie de l'ISO 11568.
 A.1 Schéma de gestion de clés interbancaires (France)
 A.2 Schéma de gestion de clés de transaction (Royaume-Uni)
 A.3 Schéma de clé unique dérivée par transaction (Etats-Unis)

1)
 À publier.
2

---------------------- Page: 6 ----------------------
© ISO
ISO 11568-6:1998(F)
 A.4 Norme de sécurité de base télématique (Suisse)
 A.5 Gestion de clés du terminal à l'acquéreur — Clés de transaction (Australie)
 A.6 Gestion de clés nœud à nœud — Clés de session (Australie)
 A.7 Gestion de clés du terminal à l'acquéreur — Clés de session (Australie)
 A.8 Initialisation de l'unité cryptographique du terminal à l'aide de l'algorithme cryptographique asymétrique
(Australie)
3

---------------------- Page: 7 ----------------------
© ISO
ISO 11568-6:1998(F)
Annexe A
(informative)
Description des schémas de gestion de clés
A.1  Schéma de gestion de clés interbancaires
SERVICES BANCAIRES AUX PARTICULIERS — SCHEMAS DE GESTION DE CLES
(à utiliser avec l'ISO 11568-6)
NOM DU SCHEMA DE GESTION DE CLES: Schéma de gestion de clés interbancaires
SOUMIS PAR: AFNOR (France)
ALGORITHME(S) ASSOCIE(S): DEA
DESCRIPTION DU SCHEMA:
Clé maîtresse.
Clés de raccordement: la cryptopériode dure plusieurs années.
Clés de chiffrement de clés: ceci est une couche facultative de la hiérarchie de clés, à utiliser dans
les systèmes à grand volume. La cryptopériode dure 3 fois la cryptopériode des clés de données —
moins un jour. Elle dure au maximum 3 mois.
Clés de données (= clés de session): générées automatiquement et distribuées tous les «n» jours —
31 jours au maximum. Ces clés sont les suivantes:
clé de chiffrement du PIN
clé de MAC
NOTE  Cette mise en œuvre est une variante de Clé maîtresse / Clé de session.
MISES EN ŒUVRE CONNUES: réseau interbancaire français
REFERENCES TECHNIQUES: Groupement Cartes Bancaires STUR RCB
4

---------------------- Page: 8 ----------------------
© ISO
ISO 11568-6:1998(F)
A.2  Schéma de gestion de clés de transaction
SERVICES BANCAIRES AUX PARTICULIERS — SCHEMAS DE GESTION DE CLES
(à utiliser avec l'ISO 11568-6)
NOM DU SCHEMA DE GESTION DE CLES: CLÉ DE TRANSACTION APACS 40
SOUMIS PAR: APACS, ROYAUME-UNI
ALGORITHME(S) ASSOCIE(S): DEA (défini dans ANSI X3.92)
DESCRIPTION DU SCHEMA:
Ce schéma réalise les fonctions suivantes:
a)  authentification de message — en produisant des MAC à 32 bits conformes à l’ANSI X9.19.
b)  chiffrement du PIN — à l'aide d'un format de bloc PIN/PAN conforme à l’ANSI X9.8.
Gestion de clés
Des clés distinctes sont utilisées pour les deux fonctions. Les clés sont mises à jour pour chaque
transaction, à l'aide des données de la carte, d'un registre des clés et d'une fonction
unidirectionnelle. Le registre des clés est mis à jour sur le terminal et sur le système hôte à l'aide de
la partie non utilisée du MAC (résidu).
Les messages d'une transaction donnée sont reliés en prenant en compte dans le calcul du MAC la
partie non utilisée du MAC provenant du message précédent.
La protection bout-en-bout et "break forward" des codes PIN peut être obtenue en omettant
certaines données de la carte contenues dans les messages transmis.
NOTE  Cette mise en œuvre est une variation de Clé unique par transaction transformée de manière
irréversible.
MISES EN ŒUVRE CONNUES: ROYAUME-UNI
REFERENCES TECHNIQUES: Norme APACS 40: Spécifications de l'interface de l'acquéreur pour
les terminaux de capture de données électroniques: Partie 3, Section 3 — Sécurité.
5

---------------------- Page: 9 ----------------------
© ISO
ISO 11568-6:1998(F)
A.3  Schéma de clé unique dérivée par transaction
SERVICES BANCAIRES AUX PARTICULIERS — SCHEMAS DE GESTION DE CLES
(à utiliser avec l'ISO 11568-6)
NOM DU SCHEMA DE GESTION DE CLES: Clé unique dérivée par transaction
SOUMIS PAR: Etats-Unis
ALGORITHME(S) ASSOCIE(S): DEA
DESCRIPTION DU SCHEMA:
Une clé unique est générée pour chaque transaction.
Un élément de données d’informations sur la gestion de sécurité (SMID) réside sur chaque terminal
et dans chaque module de sécurité de l'acquéreur.
Un SMID contient
— un identificateur d'ensemble de clés (KSID) qui identifie / désigne la clé de base;
— l'ID du module de sécurité résistant à l’agression (TRSM) permettant à l'acquéreur de
commencer les calculs;
— la clé chargée;
— le compteur de transactions, incrémenté à chaque transaction utilisant la cryptographie.
Le terminal déduit (et donc crée) une nouvelle clé de transaction à partir de la clé de transaction
précédente.
En fonction des données contenues dans son SMID, l'acquéreur peut calculer la clé de transaction
de n'importe quelle transaction à partir de n'importe quel terminal auquel il est relié.
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.