我在Thales HSM中为DUKPT生成了BDK Type3密钥。我已经将根据HSM的LMK加密的BDK发送给终端制造商,以生成IPEK密钥并将其注入终端。
当我收到加密数据时,我有KSN,现在我再次需要BDK来解密它。我没有将BDK存储在我的HOST应用程序中的任何地方。我怎样才能再次获取BDK进行解密。它存储在某个地方在HSM中。如果有多个BDK,我如何找到用于此特定终端的正确的BDK?
答案 0 :(得分:2)
BDK (基本派生密钥)应保留在 HSM 中,以便在您需要解密时可用。在解密期间,您将 KSN (密钥序列号)作为输入传递给 HSM ,然后 HSM 将重新创建 DUKPT 终端用于 BDK 加密的密钥。
答案 1 :(得分:0)
对于数据解密,您可以使用带参数的THALES HSM命令M2
关于BDK交换(您和终端制造商之间)
直截了当的过程是:
您的BDK是在LMK下加密的。换句话说,你的BDK受LMK保护,这样你就不能使用你的BDK(超级密钥)了。如果您发送BDK(在LMK下),您的制造商将无法使用BDK(清除)进行IPEK生成。这就是您在流程中需要ZMK的原因。