我有一个简单的问题......
使用PCI PTS 3.0硬件,使用DUKPT双长度TDES密钥通过SRED过程保护敏感数据。结果加密数据是否安全?
如果您通过不安全的TCP发送它会被认为是安全的吗?在不安全的路由器上?通过TCP上网?发表于pastebin :)?
或者是否必须在通信路径上提供额外的安全性?是否仍然需要使用SSL?为什么?这是怎么回事?
使用SRED时,我真的找不到相关信息,因为它本身很难并且认为PCI DSS 3.0安全吗?
编辑: 为了简化......在本地局域网上通过tcp传输的TripleDed Dukpt加密track2数据是否安全?
谢谢你,并致以最诚挚的问候。
答案 0 :(得分:3)
通过网络,3DES / DUKPT可以安全地加密跟踪2数据。被动攻击者无法解密邮件并获取信用卡号。
但是,DUKPT无法防止重播攻击。您应该使用其他加密来确保事务消息的完整性。
攻击者可以在不更改加密的跟踪2数据的情况下修改其他事务数据。例如,攻击者可以拦截交易消息并提取加密的跟踪2数据。攻击者可以使用相同的加密轨道2数据为不同的数量创建新事务。然后,攻击者可以提交修改后的交易来代替实际交易。