在AWS云中管理DUKPT密钥

Question

我从事支付系统的工作。所以DUKPT的钥匙是必须要的。在大多数情况下，PIN和Card数据是使用DUKPT密钥加密的。然而，每次我们检查AWS时，我们都发现在它们的云上可用的HSM中没有一个具有DUKPT能力。这对我们来说显然是不可能的。这里的一些专家能解释一下这一点吗？你在AWS上遇到这个问题了吗？您是如何绕过AWS限制的(除了离开AWS之外)？

Answer 1

支付处理需要DUKPT，因为PIN pads是相对较弱的HSMs，运行在低马力设备上，很容易被盗和受到攻击。DUKPT的存在是为了满足几种安全要求，包括保护过去的密钥，高效地生成未来的密钥，并确保数据报总是不同的。AWS HSM不受相同的限制或风险，而且由于它们的功能包括加密安全的伪随机数生成，因此DUKPT在该平台上没有意义。

与其要求AWS满足DUKPT的要求，不如向您的支付提供商询问适用于AWS的替代方案。