实现DUKPT密钥管理

Question

我目前正在寻找实现DUKPT (每个事务派生唯一密钥)，并且对如何成功地实现它感到迷茫。有没有人知道一步一步的指南/现有的实现，或者更多关于客户端服务器应用程序中解决方案的实际实现的信息？

DUKPT简介：

在密码学中，派生唯一密钥每事务(DUKPT)是一种密钥管理方案，其中每个事务都使用一个来自固定密钥的唯一密钥。因此，如果派生密钥被破坏，未来和过去的事务数据仍然受到保护，因为下一个或以前的密钥无法轻易确定。在ANSI X9.24第1部分中指定了DUKPT。 DUKPT允许从保存共享秘密的设备中移除加密处理。加密是使用派生密钥完成的，该密钥在事务处理后不被重复使用.DUKPT用于加密电子商务交易。虽然它可以用于保护两家公司或银行之间的信息，但通常用于加密销售点(POS)设备获取的PIN信息。DUKPT本身并不是一个加密标准，而是一种密钥管理技术。DUKPT计划的特点如下：

• 使始发方和接收方能够就用于某项交易的钥匙达成协议，
• 除巧合外，每个事务都有一个不同于所有其他事务的密钥，
• 如果当前密钥被泄露，则过去和未来的密钥(以及由此加密的事务性数据)仍然不受影响，
• 每个设备产生不同的密钥序列，
• 加密消息的始发者和接收者不必事先执行交互式密钥协商协议。

Answer 1

这是一个有趣的协议，也是异国情调。Jpos项目有DUKPT的工作java代码。我认为最好的开始是一个已经开始工作的实现。

如果您正在实现一个真实的系统，那么Kerberos可能更适合您的需要。

Answer 2

最近我经历了同样的痛苦，这导致了这个iOS DUKPT的实现。

https://github.com/mburshteyn1/DUKPT

Answer 3

DUKPT是在ANSI X9.24规范中解释的，包括可以在任何语言中实现的非常直接的伪代码。