PCI PTS安全认证DTRS

1.PCI DSS要求:

PCIDSS是应用于整个支付生态系统的安全标准，其中包括密钥管理和密钥注入方面的要求。PCIDSS要求对所有密钥进行严格的管理，包括生成、存储、分发和注入过程对于使用RKI的组织，PCI DSS要求确保密钥注入过程中的安全性，包括对密钥进行加密、使用安全的通信渠道、进行身份认证和验证等

2.PCI PTS要求:

PCI PTS规范是针对支付终端设备的安全性要求，其中包括RKI方面的规定·PTS要求RKI服务提供商通过特定的流程和控制来保护密钥的安全性和完整性PTS要求RKI服务提供商使用受信任的密钥管理系统，并确保密钥的生成、存储和分发过程符合安全标准。

PTS要求RKI过程中的通信必须使用加密和身份验证，以保护密钥的传输和注入过程密钥分离性:

PCI PTS要求确保不同客户之间的密钥是分离的，以防止密钥泄露或混淆.

这意味着RKI服务提供商必须采取适当的措施，以确保每个客户的密钥在注入过程中是独立和隔离的，不会被其他客户访问或使用。审计和追踪:

PCI规范要求RKI服务提供商保留详细的密钥注入记录，包括注入的密钥信息、设备标识、注入时间等。

这些记录可用于审计和追踪目的，以确保RKI过程的合规性和安全性

敏感服务

敏感服务保护

DTR B5敏感服务保护 供应商回答:是

评价:验证访问敏感服务需要身份验证。敏感服务提供对底层敏感功能的访问。敏感函数是指那些处理敏感数据的函数，如密钥、pin码和密码/认证码。进入或退出敏感服务不得泄露或以其他方式影响敏感数据。指导在通过安全用户界面输入敏感信息时，身份验证需要双重控制技术，在输入电子数据时需要加密技术。使用其他技术访问敏感服务会导致设备无法使用以前存在的密钥材料。在所有情况下，每个用户在给定设备上的认证值(密码、认证码或类似内容)都必须不同。

TB5.2敏感服务(状态)允许执行在正常使用期间不可用的功能—例如，加载主密钥、更改设备配置等。手动输入的关键部件构成输入时的敏感数据，设备不能通过声音进行区分，也不能显示输入的不同值。

敏感功能：

1. 明文注入密钥
2. 修改双控密钥
3. 修改SP时间

测试人员根据厂商文档进行验证确认逻辑安全设计[11]:访问敏感服务需要双控认证，执行或超时后，设备将安全恢复正常状态。这确保敏感服务经过身份验证并被输入，安全使用和退出。如果设备从运行状态进入维护状态，说明设备异常，触发设备的篡改机制清除敏感信息。因此，模式转换(例如，从操作到维护)不会暴露或影响敏感信息。

TB5.2如果访问敏感服务需要通过键盘输入，测试人员应验证并说明对PIN数据的保护，如以下内容，也适用于访问敏感服务时输入的数据:

1. 无法从任何显示的字符识别数据输入。
2. 通过监测声音或电磁发射无法识别数据输入。
3. 退出敏感模式时，将从内部缓冲区清除敏感数据。

测试人员检查文档并在设备上进行测试。

确认访问敏感服务需要两个管理员密码。

测试人员验证了对PIN数据的保护也适用于访问敏感服务时输入的数据。

数据输入均以星号“*”表示。

对于敏感业务，设备处理客户PIN码和密码的方法相同。

无论是个人识别码还是密码都不能通过监测声音或电磁发射来确定。

针对监控的PIN保护的详细信息参见DTR A5。

退出敏感模式时，将从内部缓冲区清除敏感数据。

TB5.3如果模式转换需要由一个单独的接口设备输入，例如键加载器，测试人员应该记录所使用的机制和方法。

模式转换不需要从单独的接口设备输入，因此这个要求不适用。

TB5.4测试人员应在下表中详细说明所有可用于将加密密钥加载到POl中的方法。

这应包括任何特定密钥有不止一种加载方法，以及不同的加密密钥可能有不同的加载方法的情况。测试仪应包括固件提供的允许加载加密密钥的任何API(参考作为DTR D1一部分提供的API列表)。测试人员检查了供应商提供的文件逻辑安全设计f11)，并确认该文件包括固件提供的允许加载加密密钥的apl。有关详情，请参阅附录D: API清单。

TB5.5测试人员应验证私有和秘密密钥的加载使用以下一种或多种方法。注意:用于无人值守环境的epp和OEM ped应仅支持方法a、c和d。scrp应仅支持加密密钥材料的加载。a)通过键盘输入明文密钥时，必须同时输入两个或多个组件，并要求使用至少两个密码/验证码。密码/身份验证码必须通过小键盘输入，否则将加密传输到设备中。这些密码/身份验证码必须是每个设备(和每个监护人)唯一的，除非偶然，或者如果供应商默认，它们将提前过期，并在首次使用时强制更改。每个设备唯一的密码/验证码可以由获取方随意更改，但这不是必需的。密码/身份验证码至少七个字符或同等强度。输入密钥组件而不使用至少两个单独的密码/身份验证代码会导致对现有密钥的归零，即调用密钥加载函数/命令会导致在实际加载新密钥之前归零。对于支持多个密钥层次结构的设备(例如，多获取器设备)，只有与正在加载的密钥相关联的层次结构(特定的TMK和工作密钥)必须归零。

b)为了从密钥加载器(必须是某种类型的安全加密设备)注入明文密钥或私钥，密钥加载器或设备或两者都必须在将明文密钥注入设备之前要求两个或多个密码/验证码。注意:这可能是整个密钥-如果组件/共享，每个组件/共享需要一个单独的密码/身份验证码。密码/身份验证码至少七个字符或同等强度。这些密码/身份验证码直接通过适用设备的小键盘输入，或者加密传输到设备中。这些密码/身份验证码必须是每个设备(和每个监护人)唯一的，除非偶然，或者如果供应商默认，它们将提前过期，并在首次使用时强制更改。明文键或其组件/共享永远不允许通过网络连接。

在设备本身不需要使用至少两个密码/身份验证码的情况下，注入明文密钥或其组件/共享会导致已存在的密钥归零。对于支持多个密钥层次结构的设备(例如，多获取器设备)，只有与正在加载的密钥相关联的层次结构(特定的TMK和工作密钥)必须归零。

c)对于加密值注入到设备，无论是从密钥加载器或网络主机，或通过键盘加载，设备成功解密值并使用它的能力就足够了。在这种情况下，密钥加密密钥的加载将在双重控制下完成，例如上面的a)和b)。

d)使用公钥方法的远程密钥加载技术需要符合PCI定义的密钥大小标准以及主机和设备之间的相互认证。对于生成它们自己的键值的设备，生成过程必须符合附录D“STS工具的配置和使用”中定义的标准，并验证使用了适当的键大小。协议必须符合PCI PIN安全要求附录A中规定的标准。更多信息见下文。测试者应包括对上表中每一行中使用的方法的引用。测试人员确认上表中的所有方法都符合四种已批准的装键方法之一。“KEK”是由SP TRNG生成的，不能从外部加载。每个键的具体方法见表B5.1。

TB5.6测试人员应该证明为什么可以用来加载加密密钥的每个方法都同时执行双重控制和分割知识。

测试人员证实，所有加载按键的方法都是双重控制和分割知识。该设备实现了通过设备虚拟键盘进行密钥注入的双重控制和分割知识。

TB5.7测试人员应验证所有私钥或秘钥的加载可以在不使用明文密钥注入(PCI PIN所要求的)的情况下执行。

如果使用不支持相互密码验证的非对称密钥加载技术来加载初始密钥，则必须使用PIN码安全要求32-9中定义的安全房间。如果设备生成密钥对并签名公钥，则此过程必须在相同的安全环境中进行。注意:这不适用于在安全密码设备的键盘上输入的关键组件。此项不适用。

TB5.8测试人员应详细说明POl提供的任何未按上述定义处理的其他敏感服务。

这必须包括POI为满足PTS要求而依赖的任何系统或功能的禁用或更改。示例包括但不限于更改SRED加密模式或更改可能用于验证证书有效性(或用于其他系统安全服务)的系统时间。所有敏感功能均列在TB5.1中。POI不再提供其他敏感服务。

TB5.9测试人员应确认并描述通过POl键盘输入的任何敏感信息如何受到与客户pin相同程度的保护，并符合所有相关要求(例如，A1, A2, A4, A5和A6)。

操作人员通过虚拟键盘输入密码。通过虚拟键盘输入的敏感信息受到与客户pin码相同程度的保护，符合所有相关要求。

TB5.10对于任何非对称密钥加载方法，测试人员应提供一个消息流图，显示在非对称键加载过程中交换的每个数据包的内容，包括任何身份验证参数、新鲜度指示器和填充。

从这个图中，对于每种非对称键加载方法，测试人员应提供以下理由:

a)为什么任何没有附加认证参数的数据包都不能被用作中间人攻击的一部分。

b)为什么任何新鲜指示符都足以防止重放消息的任何部分，从而导致重新加载先前安装的加密密钥。

c)为什么除了现有公钥的“所有者”之外，任何一方都不可能在设备初始加载后更改任何公钥。

d)为什么协议在任何加密密钥用于安全敏感的过程(如加密密钥加载)之前，都提供了POl和主机的相互认证。设备不支持非对称键加载方式。

此项不适用。

TB5.11如果公钥是在不安全的环境中加载到POl中的(例如，在固件加载期间)，测试人员应证明双重控制是如何维护的，并且不可能对公钥值进行更改或操作。

注意:这适用于初始高级(例如根)密钥的加载。如果这些密钥嵌入到固件中，它们将根据E5的要求利用用于固件的机制。在设备收到FW后加载的其他公钥可以使用加密机制(如证书或MAC)进行身份验证，并且加载可以在不安全的区域进行，而不会影响安全性。加载RSA公钥或证书有两种方法。

一种是在固件更新过程中加载密钥或证书作为固件的一部分，

另一种是在双重控制下加载密钥或证书(CERT_KLD_CLIENT_KEY, KLD_CLIENT_PRIVATE_KEY, CERT_TLS_CLIENT_KEY和TLS_CLIENT_PRIVATE_KEY)。

前者受到固件签名的保护，后者受到证书链的保护。

不可能修改或操纵公钥值。

关于KLD验证终端，建议是厂商可以将CA公钥、终端KLD公钥证书、私钥，下载到终端

密钥下载认证阶段：设备私钥签名随机数和设备信息，并且把公钥证书也发给KLD，KLD使用CA公钥验证证书，取得公钥，使用公钥验签刚才发的数据。

TB5.12测试人员应详细说明POl提供的任何其他敏感服务，并详细说明为这些服务提供的认证。

测试人员应证明这是如何确保为所有人提供双重控制的敏感的服务。

测试人员确认没有其他敏感业务，所有敏感业务均在TB5.1中描述。在访问敏感业务之前，必须通过设备虚拟键盘输入双控密码，并由设备进行验证。

TB5.13测试人员应该验证这一点并描述如何验证为提供双重控制而实现的所有密码/验证码至少是7个字符或同等强度测试人员检查了源代码，并确认了所有用于提供双重控制的密码必须至少有7个字符。

POl不接受超过12个字符或少于7个字符的密码输入。相关的代码片段如下所示。

TB5.14测试人员应尝试在不改变密码/验证码的默认值的情况下将加密密钥或组件加载到POl中。

测试者应详细说明结果。如果可以这样做，则不符合此DTR的要求。

首次访问敏感业务时，设备会强制用户输入默认密码后修改密码。在不更改密码的默认值的情况下，不可能将加密密钥或组件加载到Pol中。

TB5.15测试人员应尝试在Pol中设置密码/认证码，使同一设备中的两个或多个密码/认证码具有相同的值。测试者应详细说明结果。

如果可以这样做，则不符合此DTR的要求。日志含义测试员尝试将密码B设置为与密码a相同的值，设备拒绝密码B的设置。结果如下所示。

测试人员应尝试将POl的密码/验证码设置为小于7个字符或等效强度的值。测试者应详细说明结果。如果可以这样做，则不符合此DTR的要求。.测试者验证了所有实现双重控制的密码必须至少有7个字符。测试人员试图将设备的密码设置为一个小于7个字符的值，并且该密码不被设备接受。

1.2DTR B6敏感服务限制

供应商回答:是

评价:验证为了最大限度地减少未经授权使用敏感服务的风险，应限制可以执行的操作数量和时间限制，超过此时间后，设备将被迫恢复到正常模式。指导评估实验室可能需要源代码的副本和供应商的协助，以便对相关安全功能进行系统审查。测试员:卢乔荣测试结果验证证据支持供应商的断言，该设备符合这一要求。供应商的响应与PCI B6一致。

测试细节

TB6.1测试人员应验证以下内容:供应商提供了选择作为操作数量限制的值和施加的时间限制的基本原理。

供应商提供了一个基本原理，说明这些限制如何将未经授权使用敏感服务的风险降至最低。

测试人员检查了供应商在逻辑安全设计[11]中提供的基本原理，并将其描述为下图:

每次输入双控密码或关键部件的超时时间限制为1分钟。密码输入次数限制为5次。输入错误密码超过5次，设备将被锁定10分钟。敏感业务的最大操作时间不能超过15分钟。该机制可以确保设备最多在15分钟后退出敏感状态。如果1分钟内无操作，设备也会恢复正常状态。

测试人员确认，供应商已经提供了选择作为动作数量限制和施加的时间限制的基本原理，并且供应商已经提供了限制如何将未经授权使用敏感服务的风险降至最低的基本原理。

测试人员还对设备进行了测试，并确认结果支持供应商的响应。

TB6.2测试人员应通过使设备访问敏感服务并试图超过限制来验证对动作数量的限制。一旦超过极限，测试人员应验证设备已恢复到正常模式。

测试人员进行测试，输入管理员密码访问敏感业务。测试员连续输入5个错误密码，设备进入锁定状态。处理步骤

TB6.3参考上述要求中概述的敏感服务，测试人员应详细说明为每项服务提供的功能限制。

对于TB5.1中列出的每个敏感服务，时间限制为1分钟。所有敏感功能的总操作时间限制为15分钟。“敏感状态”密码输入错误次数不能超过5次。

TB6.4对于任何密码输入模式，测试人员应详细说明功能限制如何确保任意密码/验证码猜测成功的概率小于1/10000000，并且在一分钟内多次尝试正确提供密码/验证码值的成功概率小于1/10000。测试人员应详细说明为验证这些功能极限而进行的测试。测试人员确认设备在访问敏感服务时需要双重控制。双控密码长度至少为7位。

它可以确保任何任意密码猜测的成功几率小于1/10000000。

测试人员对敏感业务进行了一分钟的连续访问测试，确认设备最多只允许输入5次密码。

输入5次密码错误后，设备进入锁定模式。在一分钟内多次尝试正确提供密码值的成功几率小于1/10000。

TB6.5对于任何密码输入模式，测试人员应通过源代码检查确认验证密码/身份验证码值的方法不容易受到定时攻击(例如，没有使用标准的“strcmp”或“memcmp”函数)，或者将功能限制设置为防止使用任何泄露的定时信息的值。这个评估活动应该集中在源代码的相关的、安全关键的部分，以便在评估资源的使用和评估目标之间提供最佳的平衡。

测试人员检查了源代码，并确认验证密码值的方法不容易受到定时攻击。密码采用AES密钥加密，使用16字节的密文密码验证密码的值。相关的代码片段如下所示。

TB6.6对于所有敏感服务，不包括加密密钥值的加载，但包括从外部密钥加载设备加载明文密钥值，测试人员应确认实现了计时器，该计时器将在最多15分钟后将POl返回到非敏感模式，无论输入或持续活动。对于需要输入两个或多个密码/鉴权码的敏感业务，最大定时器必须在输入第一个密码/鉴权码数字时启动，包括输入密码/鉴权码和执行密码/鉴权码认证的业务所需的时间(例如，输入单个关键组件或访问敏感菜单功能)。

如果POI分离每个组件的输入，在每个组件值之前输入单个密码/身份验证代码，那么POl就没有必要在每个密码/组件输入操作之间实现计时器。如果源代码审查可以确认相同的代码用于所有敏感状态，那么最大计时器值的验证可能只涉及测试其中一个敏感状态。测试人员应详细说明所使用的具体测试方法，以及这些结果如何确保不可能保持敏感状态超过15分钟。设备支持TB5.1中描述的3种敏感业务。访问敏感服务时，每个密码的输入时间为60秒。如果密码输入错误，设备将返回非敏感模式。如果连续5次输入错误密码，设备将被锁定10分钟。无论输入或持续活动，设备将在最多15分钟内返回非敏感模式。进入输入双控密码A和B的界面时，设备开启定时器，定时器设置为15分钟。有关在最多15分钟后使设备进入非敏感模式的相关代码片段如下所示。

TB6.7对于所有需要在POI键盘上输入密码/验证码和关键组件的敏感服务，测试人员应确认执行了非活动超时，以便每隔60秒没有按下一个按钮，设备将退出敏感状态。

如果源代码审查可以确认所有敏感状态都使用了相同的代码，则验证超时值可能只涉及测试其中一个敏感状态。测试人员应详细说明所使用的具体测试方法，以及这些结果如何确保在超过60秒的时间内缺乏任何输入将导致退出敏感状态。

测试人员检查了源代码，并确认所有需要输入密码的敏感服务都启用了一个设置为60秒的计时器。如果每隔60秒没有按下触摸屏，设备将退出敏感状态。相关的代码片段如下所示。

输入密码过程在60s内必须完成，在未完成输入时应返回非敏感服务状态

1min内输入五次，锁机10min

进入敏感服务时，15min内要返回非敏感服务状态

不允许使用库的 strcmp memcmp函数

DTR B8详尽的PIN判定

供应商回答: 是

评价: 验证

该装置具有阻止或显著阻止使用该装置进行详尽的PIN识别的特性。

指导

以下是可用于防止彻底PIN判定攻击的技术示例，

例如使用机电螺线管压低密钥，以便尝试所有可能的PIN，直到产生的密文等于设备在操作使用时记录的密文:使用每个事务的唯一键技术。(防止攻击)注意:Master/session不是每个事务唯一键的技术。

防止通过键盘以外的其他方式输入PIN码，并将设备加密PIN码的速率限制为平均每30秒一个(例如，超过120个交易)。需求语句的意图是，对于任意120个连续的事务，特定PIN条目的加密之间的平均时间大约是30秒。(阻止攻击。)该设备专门用于离线PIN，并且ICC阅读器集成到PIN输入设备中。单独使用ISO PIN码块格式3和/或4，其中每个PIN码都使用唯一的加密字符，允许的值根据格式从0000到1111不等，可用于防止彻底确定PIN码。对于穷举式攻击，应该计算加密之间的平均时间延迟，以确定单个PIN值，而不是对多个PIN的攻击进行平均。

如果离线设备没有将PIN码输入设备和ICC读取器集成到同一个安全模块中，并且使用ISO O格式，并且没有在每笔交易中使用唯一密钥将PIN码从入口传送到ICC读取器，则必须遵守此要求。评估实验室可能需要源代码的副本和供应商的协助，以便对相关安全功能进行系统审查

测试员:卢乔荣 测试结果证据支持供应商的断言，该设备符合这一要求。

供应商的响应与PCI B8一致。来验证

测试细节

TB8.1测试人员应注意POl是否只支持确保每个PIN加密使用唯一密钥的密钥管理方法。如果是这种情况，测试人员应证明用于确保唯一密钥的方法是充分的，并且不需要对此要求进行进一步的测试。

设备支持主密钥/会话密钥和DUKPT密钥管理方式进行PIN加密。

TB8.2测试人员应注意POI是否只支持在线PIN ISO格式4或ISO格式3 PIN块。

如果是这样，测试人员应审查POl的源代码，以确认这些PIN块上使用的填充是由根据要求B7验证的随机数生成器生成的。如果是这样的话，对于这个需求就不需要进一步的测试了。设备在线PIN支持ISO 9564 PIN块格式0、1、3和4，离线PIN支持格式2。

测试人员审核了POl的源代码，确认了SP TRNG生成的ISO PIN块格式1/3/4上使用的填充。关于生成这些随机数的细节可以在TB7.3中找到。

TB8.3如果之前的测试是阴性的，或者没有进行，测试人员应详细说明POl使用的方法，以确保在不到一小时的时间内不可能加密超过120个pin。（一小时不能超过120笔交易）

设备限制了密码加密操作命令的数量，以防止穷尽式的密码识别。PED每180秒最多允许6次。命令调用的间隔被限制为平均30秒。设备记录最近一次输入密码的时间。当第7次调用PIN输入时，设备将计算1*和第7个PIN输入之间的时间间隔。如果时间间隔小于180秒，则无法进行PIN输入。

TB8.4测试人员应该检查POl的源代码，以确认—并总结如何—实现与供应商认证相匹配，并且该方法对所有PIN输入方法和密钥管理类型(不包括上面提到的，如果确认有效则不受此要求限制的方法)实现。

这种评估活动应该集中在源代码的相关安全关键部分，以便在评估资源的使用和评估目标之间提供最佳平衡。测试人员检查源代码并确认实现符合供应商的认证，并且该方法是为所有PIN输入方法和密钥管理类型实现的。每180秒只允许输入6次PIN码(平均每30秒输入1次)，防止1小时内输入超过120个PIN码。每次调用PIN输入函数时，都会调用函数cmd tp start()来检查是否达到PIN输入限制(每180秒6次)。如果PIN输入次数超过6次，并且经过的时间没有达到180秒，设备将返回错误码AP_TP_TIME_OUT_ERR并拒绝事务。该方法用于确保在不到一小时的时间内不可能加密超过120个pin。

代码片段如下所示。

TB8.5使用功能样例设备，测试人员应尝试执行至少120个PIN输入操作。测试人员应注意执行最终交易时所花费的时间和POl的响应，以及在输入第一个PIN后的一小时内是否可能进行另一笔交易。

测试人员对一个功能样品进行了PIN输入操作，验证180秒内只能执行6次PIN输入。测试者尝试在180秒内完成第七次交易。设备无法执行PIN输入操作，拒绝交易，180秒内的第7笔交易被拒绝PIN输入在180秒后被重新允许。在接下来的180秒内，允许另外6个PIN输入。

测试结果证明，POl在一小时内平均每30秒只能阻止一次超过120个pin的进入。

TB8.6使用功能样例设备，测试人员应在一小时内尝试执行120个PIN输入操作。如果设备阻止尝试输入PIN码，测试人员应切断设备电源。设备重新通电后，测试人员应尝试执行另一次PIN输入操作，并注意这是否可行。

测试人员应描述设备在测试中的表现。如果测试人员可以执行另一个(第121个)PIN输入，则设备失败。根据固件中实现的方法，不需要执行120 PIN输入操作。该测试仪在60秒内对一个功能样品进行了6次PIN输入操作，并切断电源。在设备重新通电后，测试人员试图在120秒内执行另一次PIN输入操作。设备也拒绝交易，并显示PIN输入失败的错误结果，如图B8.3所示。

TB8.7如果用于防止在一小时内输入超过120个PIN的方法利用了POl的实时时钟，测试人员应详细说明可用哪些方法来改变该时钟的值，并说明为什么这些方法不允许绕过PIN输入速率限制。

RTC用于防止1小时内超过120个pin的进入。供应商声明，POl的实时时钟被用来记录PIN输入时间。RTC值只能在双控敏感业务中设置。相关的代码片段如下所示。

DTR B9密钥管理

供应商回答:是

评价:验证设备中实现的密钥管理技术符合ISO 11568和/或ANSI X9.24。

密钥管理技术必须支持定义好的密钥块DTR B9。

指导

用于IC卡接收的POl设备必须有支持ECC的芯片组，且已使能使用。ECC功能应支持标准素数曲线(至少NIST推荐的P-256和P-521曲线)，并应包括曲线上点的标量乘法和素数场算术(包括全尺寸指数的幂运算)。

对称密钥组件应通过全长密钥组件的异或或或通过实现公认的秘密共享方案(例如Shamir)来组合。

私有密钥组件应该使用公认的秘密共享方案进行组合。

设备必须为直接或间接与PIN或帐户数据保护相关的任何功能实现唯一的密钥和私钥。基本规则是，设备中直接或间接用于PIN保护的任何私有或秘密密钥，其泄露将导致另一个设备中的相同密钥泄露，每个设备必须是唯一的。例如，这不仅意味着PIN加密密钥，还包括用于保护其他密钥、固件更新和身份验证密钥以及显示提示控制密钥的密钥。正如要求中所述，这不适用于驻留在设备中的公钥当为密钥或密钥组件生成校验值时，它应由加密过程生成，以便密钥或密钥组件的所有部分都参与生成校验值。禁止通过业务模块加载清除键或清除键部件。

设备可以包括多个符合要求的密钥交换和存储方案对于TDES密钥，设备必须支持ASC X9 TR 31或ANSI X9.143密钥派生方法，对于AES密钥，必须支持TR-31和/或X9.143方法和/或ISO 20038方法。

TR-31和X9.143被认为是TDEA和AES的互操作方法。

ISO 20038是公认的AES互操作方法。

TR-31和X9.143关键变量(计算)方法不再被允许。

在这两种情况下，只要有独立的专家审查，就可以使用等效的方法该审查是公开的，如下所述。其他方法也可能是如此在特定市场的法律或监管要求下提供支持，但不能提供他不再显露方法。

任何等效方法都必须包括使用公认方法将密钥使用信息与密钥值进行加密绑定，密钥的使用信息的任何绑定或解绑定密钥必须在设备的安全加密边界内进行。对于所使用的所有方法，加密密钥及其在密钥块中的属性应具有完整性保护，以便在不被检测到的情况下不能修改它们。

修改内容包括但不限于:更改或替换属性或加密密钥中的任何位将受保护密钥块的任何位与该块的另一部分的位交换必须提供文档说明方法如何满足这些标准。同等的方法必须接受独立的专家审查，并且审查结果必须公开:独立专家的审查必须包括证明，在等效方法中，加密密钥及其在密钥块中的属性具有完整性保护，这样，如果密钥或其属性已被修改，则密钥在计算上不可用。修改包括但不限于更改或替换属性或加密密钥中的任何位独立专家必须经过密码学方面的教育、培训和经验的结合，以提供独立于任何供应商和特殊利益的客观技术评估。“独立专家”的进一步定义如下。PTS实验室将验证任何实施此方法的设备供应商是否遵循上述评估和同行评审的所有指导方针，包括相关密钥管理的任何建议。

独立专家应具备以下资格:持有一个或多个适用于该领域的专业证书，例如，相关学科的博士级资格证书或权威机构(例如NSA、CES或GCHQ)颁发的密码学政府认证;而且在相关领域有十年或以上工作经验;而且在相关主题的同行评审出版物上发表过至少两篇文章，或在该领域得到同行的认可。被适当的机构(如ACM, BCS, IEEE, IET, IACR)授予研究员或杰出研究员或类似的专业认可;而且遵守道德行为准则，并在必要时遵守道德规范。这儿独立性要求实体不受特定外部来源的控制、限制、修改或限制。具体来说，独立性要求一个人、公司或公司，如果被一个以上的客户公司聘用为密码学家或类似的专家，不是该公司的正式员工，不专门为一家公司工作，如果有报酬，则在每种情况下按所消耗的时间和发生的费用支付报酬。

这并不意味着设备必须强制TR-31或等效方案，但它必须是能够实现这样的方案作为配置选项。当一个对称密钥(例如AES或TDES)被另一个对称密钥加密加载时，这些方法必须用于密钥加载。这适用于手动加载对称密钥(即通过小键盘)、使用密钥注入设备或从远程主机。当使用标准的双控制技术加载明文对称键或其组件时，它不适用。这并不意味着设备必须支持TR-31或X9.143(用于TDES)和AES(用于AES)或ISC 20038(用于AES)或设备与外部ICC阅读器之间的等效方法，但它可以选择这样做。该设备还可以选择支持TR-31或X9.143(用于TDES和AES)或ISO 20038(用于AES)或用于存储在对称密钥下加密的密钥的等效方法。

评估实验室可能需要源代码的副本和供应商的协助，以便对相关安全功能进行系统审查。

AES密钥不允许使用变体。

AES密钥只能是:使用同等或更强的非对称密钥加载

注意，特定的例外是允许使用2048个RSA密钥加密128位AES密钥进行远程密钥分发，如ANSI X9.143所述，使用非对称密钥，如PIN安全要求10所述;或由另一个强度相等或更大的AES密钥加密或导出;奥德手动加载采用双控制技术;或内部生成使用兼容B7的随机数生成器。请注意，必须使用其他公钥技术(如Diffie Hellman或Elliptic Curve)来传输强度大于128位的AES密钥。使用非对称技术的远程密钥分发应采用防止中间人攻击和劫持pin -接受设备的机制。

可接受的技巧包括:

1.对于PKI层次结构下便于多个获取方的设备(例如，pin -接受设备供应商根下的层次结构)，pin -接受设备可以强制绑定到特定事务处理主机的证书，并且不接受任何其他主机的数字签名命令。这通常在一个新的pin -接受设备的初始化时完成，并遵循如下所述的解绑定技术。