HSM Key Hiyerarşisi
HSM’ler, her zaman yönetimi ve kullanımı zor olan Ödeme Sistemlerinin kalbi olan cihazlardır. ATM, POS, Online işlemler, Kart Basım, Elektronik İmza, tüm bankacılık işlemleri vb. alanlarda kullanılıyor.
HSM’de key’ler, LMK tarafından local olarak korunur. Keyler, ZMK aracılığıyla dışarı aktarılabilir. LMK, HSM içinde tutulur.
Aşağıda örnek key hiyerarşinisi görebilirsiniz:
Local Master Keys (LMK), HSM veri tabanında oluşturulur. Key’leri şifrelemek için kullanılır. Yedeklemek için Smartcard’lar kullanılır. Prod için en az üç kişi gerekiyor.
HSM’de Kullanılan LMK Tipleri:
-Variant LMK (Double-length triple-DES)
-Thales Key Block LMK (Triple-length triple-DES, AES)
Bazı keylerin açıklamaları;
LMK (Local Master Key): HSM den herhangi bir key talep edildiginde bu key LMK altInda verilir. Bu key yanlIzca HSM tarafindan bilinir ve kullanılır. Bu key clear halini kimse bilmez. HSM’e LMK ürettirildiğinde bu keyler fiziksel kartlarda saklanırlar. Bu kartlara “key component” leride denmektedir, HSM’i Authorize moda almada, HSM herhangi bir sebeple üzerindeki LMK yı uçurduğunda, HSM’e aynı LMK yı tekrar yüklemek için kullanılılar.
ZPK (Zone PIN Key): Zonelar arasInda bir PIN bilgisi transfer edilmek istendiğinde bu key once ZPK altinda gönderilir. Mesela BKM den bir işlem geldiğinde işlemde PIN bilgiside gelecekse F52 deki bu bilgi ZPK altındadır.
ZMK (Zone Master Key): Benim bildiğim ZPK key’i değiştirilmek istendiğinde, bu key taraflara ZMK altında gönderilir. Taraflar ZMK altındaki bu ZPK yı elde ederek, gelen mesajlardaki PIN i doğrulamaya çalışırlar.
TPK (Terminal PIN Key): POS bir PIN bigisi gönderecekse bu PIN’i TPK altında şifreleyerek gönderir.
TMK (Terminal Master Key): Farklı şekilde kullanım alanları bulunuyor. POS la bir TMK Exchange yapmak istediğinizde, POS’a bu TPK’yı TMK altında gönderirsiniz. POS’la daha önceden TMK paylaşımı yapmışsınızdır ve POS TMK altındaki TPK yı kolayca elde edebilir.
MEC (Message Encrytion Key): POS isterse bir mesajı üzerinde tanımlı MEC ile şifreleyerek gönderebilir. Bu MEC key, bütün poslarınız için aynı olmakla beraber, her POS için özel de olabilir.
AC (Application Cryptogram): Kart tarafında hard code olarak bilenen (perso esnasınd karta çıkarılan) ARQC üretmek/doğrulamak, ARPC doğrulamak/üretmek için Kart ve HOST kullanılan keydir. Örneğin, Kart ISSUER un kartı basarken kullandığı AC key’i ile bir ARQC verisi üretir ve bir veri sayesinde o karta özel kimlik oluşur. İşlem host’a geldiğinde, HOST bu ARQC yi aynı AC key i ile doğrulamaya çalışır, kartın kendi kartı olduğunu teyit eder, kartı doğrular, ARPC üretir. Bu ARPC de kart tarafından doğrulanır. Burada iki önemli key daha var. MAC ve ENC keyleri. Gene bu key lerde kart basım esnasında karta çakılırlar ve sonradan değiştirilemezler.
Ayrıca HSM ile ilgili aşağıdaki yazımı da okuyabilirsiniz: