PCI DSS安全 - SRED保護

Question

我有一個簡單的問題...

使用PCI PTS 3.0硬件保證與DUKPT雙lenght TDES鍵SRED程序的敏感數據。產生的加密數據是否爲SAFE？

讓我們說如果你通過不安全的TCP發送它會被認爲是安全的嗎？通過不安全的路由器？通過TCP連接到互聯網？發佈在pastebin :)？

或者是否有必要在通信路徑上增加安全性？ SSL是否仍需要使用？爲什麼？它在哪裏說的？

我真的無法找到相關的信息，當使用SRED本身是足夠的，並認爲PCI DSS 3.0安全嗎？

編輯： 爲了簡化...是TripleDed Dukpt加密的track2數據通過本地局域網上的TCP傳輸認爲是安全的？

謝謝，最好的問候。

Answer 1

通過網絡，3DES/DUKPT可以安全地加密軌道2數據。被動攻擊者將無法解密郵件並獲取信用卡號碼。

但是，DUKPT不能防止重放攻擊。您應該使用額外的加密來確保交易消息的完整性。

攻擊者可以在不更改加密磁道2數據的情況下修改其他事務數據。例如，攻擊者可以攔截交易消息並提取加密的軌道2數據。攻擊者可以使用相同的加密軌道2數據創建一個不同數量的新事務。然後攻擊者可以提交修改後的交易來代替實際交易。