top of page
banner (1845 × 374 px) (6).png

Bloques de claves criptográficas (Key Blocks) guía rápida.


Introducción

La criptografía es un campo esencial en la seguridad de la información que permite la protección de datos y comunicaciones. En este ámbito, los bloques de claves criptográficas, o Key Blocks, representan un componente fundamental. Para comprender su importancia y cómo utilizarlos correctamente, es necesario desglosar su definición, estructura y uso práctico.





¿Qué son los Key Blocks?

Los Key Blocks son una forma segura y estandarizada de proteger, transmitir y almacenar las claves criptográficas. Cada Key Block contiene una clave criptográfica, junto con metadatos asociados a ella, todo esto envuelto en un paquete cifrado para garantizar su seguridad.


¿Por qué son importantes?

La importancia de los Key Blocks radica en su capacidad para proteger las claves criptográficas durante su almacenamiento y transmisión. Esta protección se lleva a cabo mediante el uso de técnicas de cifrado que envuelven la clave en una capa adicional de seguridad, evitando su exposición directa.


Estructura de un Key Block según ANSI X9.143:


La estructura de un Key Block, de acuerdo con los requisitos especificados en ANSI X9.143, comprende varios elementos clave que garantizan una gestión segura y eficiente de la clave criptográfica:


Encabezado (Header): Contiene metadatos que son esenciales para el manejo adecuado del bloque de claves.





Longitud de la Clave: Indica la longitud de la clave de cifrado, lo que es fundamental para su correcta implementación y uso.


Clave de Cifrado: La clave en sí, que se utiliza para cifrar o descifrar los datos.


Relleno: Puede ser utilizado para alinear los bloques de datos a un tamaño específico.


MAC (Message Authentication Code): Este elemento asegura la integridad y autenticidad del bloque de claves, permitiendo que cualquier cambio o reemplazo en los atributos o en la clave de encriptación pueda ser detectado de manera efectiva.


Además, el modelo implica la generación de una clave de encriptación (Key-Block Protection Key - KBPK) y claves derivadas como la Key-Block Encryption Key (KBEK) y Key-Block Authentication Key (KBAK) que se utilizan para encriptar y autenticar el Key Block respectivamente.


En conjunto, estos elementos conforman una estructura robusta y segura, de acuerdo con los métodos aceptables para la implementación de Key Blocks, incluyendo estándares como Atalla Key Blocks (AKB) y Thales Key Blocks (TKB), y en línea con las recomendaciones y requisitos de ANSI.



Módulos de seguridad de hardware (Hardware Security Modules - HSM)


Los módulos de seguridad de hardware (HSM) son dispositivos físicos dedicados que se utilizan para gestionar y proteger las claves criptográficas. Los HSM proporcionan un entorno seguro para generar, almacenar y utilizar claves criptográficas, como las que se encuentran dentro de los Key Blocks. Al utilizar HSM junto con los Key Blocks, se garantiza una seguridad adicional y se mantiene la integridad de las claves criptográficas.


Las KEK (Key Encryption Key)

Las KEK son claves criptográficas que se utilizan para cifrar otras claves. En el contexto de los Key Blocks, las KEK pueden usarse para cifrar la clave criptográfica dentro del bloque, proporcionando una capa adicional de seguridad.


Las KEK son especialmente importantes cuando se transmiten claves de cifrado de PIN en hosts de comerciantes, terminales de punto de venta (TPV) y cajeros automáticos (ATM). Algunos ejemplos de estas claves son la Terminal Master Key (TMK), la Terminal PIN Key (TPK) y la Initial PIN Encryption Key (IPEK).


La Terminal Master Key (TMK) es una clave criptográfica que se utiliza para proteger otras claves en las terminales de punto de venta (TPV) y cajeros automáticos (ATM).


La Terminal PIN Key (TPK) se utiliza para cifrar el PIN del titular de la tarjeta en una transacción. La TPK es cifrada bajo la TMK para su almacenamiento y transmisión segura.


La Initial PIN Encryption Key (IPEK) es una clave que se utiliza en el cifrado de PIN basado en derivación (DUKPT, por sus siglas en inglés). El IPEK se utiliza para generar futuras claves de cifrado de PIN para cada transacción individual.


Fechas importantes:


Enero 1, 2023: Las claves fijas TDEA para cifrado de PIN no serán permitidas en PCI PIN.

Enero 1, 2023: Fecha final de la fase 2 de implementación de key blocks para PCI PIN.

Enero 1, 2025: Fecha final de la fase 3 de implementación de key blocks para PCI PIN.

Marzo 31, 2024: El estándar PCI DSS v3.2.1 será retirado.

Marzo 31, 2025: Los requerimientos futuros de PCI DSS v4.0 entrarán en vigencia.


Periodos de Implementación de Key Blocks: Un Cambio Gradual y Coordinado



En 2020, el PCI SSC (un organismo que establece las normas para la seguridad de las transacciones con tarjetas de pago) decidió que era hora de cambiar la forma en que manejamos las claves de seguridad, conocidas como Key Blocks. Este cambio fue planeado en tres fases, y las fechas tuvieron que ajustarse debido al impacto del COVID-19.


Fase 1 (Completada el 1 de junio de 2019): Durante esta etapa, las Key Blocks se implementaron en todas las conexiones internas y almacenamientos de claves dentro del área de trabajo del Proveedor de Servicios. Esto pudo haber incluido programas y bases de datos que usan Módulos de Seguridad de Hardware (HSM).


Fase 2 (Completada el 1 de enero de 2023): Aquí, las Key Blocks fueron introducidas para conexiones externas con asociaciones y redes. Esto aseguró una capa extra de protección para nuestras transacciones y comunicaciones.


Fase 3 (En espera, con entrada en vigor el 1 de enero de 2025): Esta fase extenderá la utilización de Key Blocks a todos los lugares donde realices compras, como tiendas, terminales de puntos de venta, y cajeros automáticos.


Las marcas de tarjetas de crédito, especialmente Visa, también han enfatizado la necesidad de este cambio hacia los Key Blocks. La idea es hacer que nuestras transacciones sean más seguras y eficientes, protegiendo mejor nuestra información financiera.


¿Cómo Saber si una Clave Criptográfica Usa el Formato Key Block? Una Guía Sencilla



Los bloques de claves, o key blocks, son una parte importante de la seguridad informática. ¿Pero cómo puedes saber si una clave está en este formato? Afortunadamente, no es tan complicado como podría parecer.


Los key blocks tienen algo especial que permite reconocerlos fácilmente: su primer dígito en el encabezado (header) indica qué versión se está usando.







Hay cuatro versiones diferentes, cada una con una manera distinta de proteger la clave:


Versión A: Protegida usando un método llamado Key Variant Binding.

Versión B: Protegida usando el método TDEA Key Derivation Binding.

Versión C: Protegida usando el método TDEA Key Variant Binding.

Versión D: Protegida usando el método AES Key Derivation Binding.


Ahora, para quienes se adhieren a las normas PCI PIN y PCI P2PE (estándares de seguridad para pagos), solo las versiones B y D son aceptables. Esto se debe a que usan un método de derivación, que es más fuerte y no reversible, en lugar de variantes, que son más débiles.


Para darte una idea de cómo funciona, aquí te muestro dos ejemplos de claves criptográficas TDEA protegidas por key blocks:


A0136V0TN00S0200102CIBMC012400227E000341000000227E0003210000PB047F5787857B413A01A880461CB19203B0F2D9E3E5326133B9D29036D35BEC873C95F22E81


B0144P0TE00S0200102CIBMC012400247700034100000024770003210000PB04C71F199CC5A13FECEAAF94EC3CC4C3025787E709BC8101236F51736F93421D65CABAD5E97A7FD11B


De estas dos claves, solo la segunda (que usa la versión B) es válida según las normas PCI PIN/PCI P2PE.


En resumen, los key blocks nos ayudan a identificar y proteger nuestras claves criptográficas, y es tan sencillo como mirar el primer dígito del encabezado para saber qué versión está siendo empleada.


Conclusión

Los bloques de claves criptográficas (Key Blocks) son una herramienta esencial para garantizar la seguridad de las claves criptográficas durante su almacenamiento y transmisión. A través de su estructura única y el uso de tecnologías adicionales como los módulos de seguridad de hardware (HSM) y las claves de cifrado de claves (KEK), los Key Blocks proporcionan una solución robusta y eficaz para la gestión segura de claves criptográficas en diversas aplicaciones. Conocer y comprender su funcionamiento es un paso fundamental para fortalecer nuestras estrategias de seguridad de la información.

Entradas destacadas
Entradas recientes
Archivo
Buscar por etiquetas
Síguenos
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square
bottom of page