キーブロックって何？

キーブロックという言葉をご存じでしょうか？

決済代行・端末事業者など決済システムに関わる事業者様は当然ご存じかと思いますが、最近、HSM（Hardware Security Module）を利用している、とあるお客様からキーブロックとは何かとご質問を頂きましたので、本ブログでも情報発信しようと思います。

キーブロックとは、決済システムにおいて異なるシステム間で安全に暗号鍵やデータの交換を行う手法です。米国のANSI規格によって定められた鍵フォーマットのことで、主に、イシュアー（クレジットカード発行会社）やアクワイアラー（加盟店契約会社）等の異なるシステム間で鍵を交換/共有するために用いられます。

以下はイメージ図です。

PCI SSC（※1）では、暗号鍵やPINコードをラップして安全に送信・変換するために、ANSI X9.24規格にてTR-31キーブロック(※2)での実装を求めています。実際、国際的なセキュリティ基準「PCI PIN Security」でも、段階的にキーブロックへの移行が求められています。以下の様に、PCI PIN Security v3.1の要求事項18-3に記載があります。

上記Phase2と3に関係する事業者は対応を急がなければねばなりません。（当初はもっと早めに対応が必要でしたが、コロナ禍の影響で各Phaseの対応期限が1年半後ろ倒しとなっています）

決済サービスプロバイダ内では鍵の保管のために、キーブロックは既に導入されています（Phase1）が、加盟店ホストやATM/POSシステムにおいても、2025年1月1日までの対応が急務となります（Phase3）。

当社で取り扱っているThales社payShield製品は、キーブロックに対応した鍵生成や暗号処理等様々なコマンドが提供されています。要件に応じて、ファームウェアもカスタムできるため、使いたい機能を柔軟に取り入れることも可能です。カード発行会社、サービスプロバイダー、加盟店契約会社、決済代行会社、決済ネットワークなど、ワールドワイドの決済システム全体にわたって、Thales社payShield製品は多数導入されています。

余談ですが、これまで決済システムでは3DESの利用が主流ですが、今後はAES採用が加速します。米国のセキュリティ機関であるNISTでも、2023年以降は3DESの利用が非推奨とされています。（※3）　当社でも、payShieldのマスターキー（LMK）を3DESからAESへの鍵移行したりなどサポートもさせて頂いた実績が多数ありますので、何か困ったことがあれば、お気軽に当社までお問い合わせ頂けますと幸いです。

（※1）PCI SSC（Payment Card Industry Security Standards Council）とは、安全なクレジットカードの取り扱いを目的に、VISA、MasterCard、American Express、Discover、JCBの、国際カードブランド5社によって設立された独立組織です。

（※2）ANSI規格では、「一般的な」キーブロックを以下の様に、ヘッダーフィールド、暗号化された機密データ（鍵自身を含む）を含むペイロードフィールド、およびヘッダーの完全性とデータチェックのためのフィールドを備えた構造と定義されています。
なお、TR-31キーブロックは、2005年版、2010年版、2018年版などいくつか種類があります。詳細はANSIの仕様書を参照ください。

・ヘッダー
・ボディ（鍵など、センシティブな情報）
・上記二つから算出されるcheck値（KCV）

（※3）NIST SP 800-131Aより
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar2.pdf