PCI DSS 安全性 - SRED 保护

Question

我有一个简单的问题...

使用 PCI PTS 3.0 硬件，通过 SRED 过程和 DUKPT 双长度 TDES 密钥保护敏感数据。生成的加密数据是否安全？

假设您通过不安全的 TCP 发送它会被认为是安全的吗？通过不安全的路由器？通过互联网通过 TCP？发表在 pastebin :) ?

或者是否必须在通信路径上增加安全性？还需要使用 SSL 吗？为什么 ？哪里说的？

我在使用 SRED 时确实找不到相关信息，它本身是否足够并认为 PCI DSS 3.0 安全？

编辑： 为了简化... TripleDed Dukpt 加密的 track2 数据通过本地局域网上的 tcp 传输被认为是安全的吗？

谢谢你和最好的问候。

Answer 1

通过网络，3DES/DUKPT 可以安全地加密轨道 2 数据。被动攻击者将无法解密消息并获取信用卡号。

但是，DUKPT 不能防止重放攻击。您应该使用额外的加密来确保事务消息的完整性。

攻击者可以修改其他交易数据而不更改加密的磁道 2 数据。例如，攻击者可以截获交易消息并提取加密的磁道 2 数据。攻击者可以使用相同的加密磁道 2 数据创建不同金额的新交易。然后，攻击者可以提交修改后的交易来代替实际交易。