加密机手册

### 加密机手册知识点概述 #### 一、三倍DES运算 **三倍DES运算**是一种基于DES（Data Encryption Standard）算法的安全加密方法，通过三次使用DES算法来增强加密的安全性。具体包括以下子节： - **1.3.1 密钥的用法** - 在三倍DES中，可以使用两个不同的密钥或三个不同的密钥。 - 当使用两个密钥时，加密过程为：加密-解密-加密；当使用三个密钥时，则为：加密-解密-加密。 - **1.3.2 密钥的加密方案** - **ANSIX9.17方式**：这是一种加密密钥的方法，主要用于金融交易中，确保密钥传输的安全性。 - **变量方式**：指根据具体情况选择不同的密钥使用策略。 #### 二、密钥管理与操作 **密钥管理**是加密机中非常重要的一环，包括密钥的生成、输入、输出以及转换等操作。 - **1.4 密钥的生成、输入和输出** - 密钥生成：使用加密机内部的安全机制随机生成密钥。 - 密钥输入：从外部安全地导入预先生成的密钥。 - 密钥输出：将密钥安全地导出至外部系统，通常用于密钥备份或更新场景。 - **1.5 命令消息格式** - **TCP/IP方式**：加密机与外部系统之间通过TCP/IP协议进行通信时的消息格式。 - **串口Async方式**：加密机与外部系统通过串行接口进行异步通信时的消息格式。 - **1.6 响应消息格式** - **TCP/IP方式**：加密机接收到请求后，通过TCP/IP协议发送的响应消息格式。 - **串口Async方式**：加密机接收到请求后，通过串行接口发送的异步响应消息格式。 #### 三、数据表示与控制 - **1.7 数据的表示** - **ASCII字符编码**：一种常用的字符编码方式，适用于英文和其他拉丁字母语言。 - **EBCDIC字符编码**：另一种字符编码方式，主要用于早期的IBM系统。 - **EBCDIC码至ASCII码的转换表**：提供了EBCDIC码与ASCII码之间的相互转换规则。 - **1.8 输入/输出流控制** - 控制加密机与外部系统之间数据的输入和输出流程，确保数据传输的正确性和安全性。 - **1.9 错误控制** - 提供错误检测和处理机制，确保加密过程中出现的任何错误都能够被及时发现并正确处理。 #### 四、多HSM使用与用户存储 - **1.10 多HSM的使用** - HSM（Hardware Security Module）即硬件安全模块，支持多台HSM的协同工作，提高系统的可用性和安全性。 - **1.11 用户存储** - **1.11.1 分配和使用索引**：为每个用户分配唯一的索引，用于管理和访问用户的密钥及其他敏感数据。 - **1.11.2 指定存储数据**：定义如何在HSM中存储用户的密钥及其他数据。 #### 五、打印功能 - **1.12 通过一台连接在HSM上的打印机打印** - 提供了通过连接到HSM的打印机打印密钥等敏感信息的功能。 #### 六、密钥安全 - **1.13 禁止弱密钥和半弱密钥** - **1.13.1 DES弱密钥**：列举了在DES算法中容易被破解的特定密钥，加密机应避免使用这些密钥。 - **1.13.2 DES半弱密钥**：与弱密钥类似，但在一定程度上更难以被破解。 - **1.14 本地主密钥（LMK）** - **1.14.1 LMK表**：列出了所有本地主密钥的信息。 - **1.14.2 标准测试用LMK集**：用于测试目的的标准LMK集合。 - **1.15 本地主密钥变种** - 描述了不同类型的LMK及其使用场景。 - **1.16 本地主密钥三DES变量方案** - **1.16.1 一般说明**：解释了使用三倍DES算法对LMK进行加密的原理和方法。 - **1.16.2 密钥类型表**：列出了支持的不同类型的密钥。 - **1.16.3 密钥方案表**：展示了各种密钥的使用方案。 #### 七、主机命令 - **2.2 通用密钥管理命令** - 包括生成、打印、输入、输出密钥等基本操作。 - **2.2.1 生成密钥**：随机生成新的密钥。 - **2.2.2 生成并打印一个成份**：生成密钥的一部分，并打印出来。 - **2.2.3 生成一个密钥并以分开的成份形式打印**：生成完整的密钥，并将其分成若干部分分别打印。 - **2.2.4 由密的成份组成一个密钥**：将分开的密钥成份重新组合成一个完整的密钥。 - **2.2.5 输入一个密钥**：将外部生成的密钥输入到加密机中。 - **2.2.6 输出一个密钥**：将加密机中的密钥输出到外部系统。 - **2.2.7 转换密钥方案**：将密钥从一种加密方案转换为另一种。 - **2.3 区域主密钥（ZMK）管理** - 包括生成、打印、转换ZMK等操作。 - **2.3.1 生成并打印一个ZMK成份**：生成ZMK的一部分，并打印出来。 - **2.3.2 由三个ZMK成份组成一个ZMK**：将三个ZMK成份组合成一个完整的ZMK。 - **2.3.3 由2到9个ZMK成份组成一个ZMK**：根据需要，使用2到9个ZMK成份来组成一个完整的ZMK。 - **2.3.4 将ZMK由ZMK转为LMK加密**：将一个ZMK从ZMK加密方式转换为LMK加密方式。 - **2.4 区域PIN密钥（ZPK）管理** - 包括生成、转换ZPK等操作。 - **2.4.1 生成一个ZPK**：生成一个新的ZPK。 - **2.4.2 将ZPK由ZMK转为LMK加密**：将一个ZPK从ZMK加密方式转换为LMK加密方式。 - **2.4.3 将ZPK由LMK转为ZMK加密**：将一个ZPK从LMK加密方式转换为ZMK加密方式。 - **2.5 区域加密密钥，区域认证密钥管理** - 包括生成、转换ZEK/ZAK等操作。 - **2.5.1 生成一个ZEK/ZAK**：生成一个新的ZEK或ZAK。 - **2.5.2 将ZEK/ZAK从ZMK转为LMK加密**：将一个ZEK或ZAK从ZMK加密方式转换为LMK加密方式。 - **2.5.3 将ZEK/ZAK从LMK转为ZMK加密**：将一个ZEK或ZAK从LMK加密方式转换为ZMK加密方式。 - **2.6 终端主密钥，终端PIN密钥和终端认证密钥管理** - 包括生成、转换TMK、TPK或PVK等操作。 - **2.6.1 生成并打印一个TMK、TPK或PVK**：生成一个新的TMK、TPK或PVK，并打印出来。 - **2.6.2 生成一个TMK、TPK或PVK**：生成一个新的TMK、TPK或PVK。 - **2.6.3 将TMK、TPK或PVK从LMK转为另一TMK、TPK或PVK加密**：将一个TMK、TPK或PVK从LMK加密方式转换为另一个TMK、TPK或PVK加密方式。 - **2.6.4 将TMK、TPK或PVK从ZMK转为LMK加密**：将一个TMK、TPK或PVK从ZMK加密方式转换为LMK加密方式。 - **2.6.5 将TMK、TPK或PVK从LMK转为ZMK加密**：将一个TMK、TPK或PVK从LMK加密方式转换为ZMK加密方式。 - **2.6.6 生成一对PVKs**：生成一对PVKs用于特定的加密场景。 - **2.7 终端认证密钥管理** - 包括生成、转换TAK等操作。 - **2.7.1 生成一个TAK**：生成一个新的TAK。 - **2.7.2 将TAK从ZMK转为LMK加密**：将一个TAK从ZMK加密方式转换为LMK加密方式。 - **2.7.3 将TAK从LMK转为ZMK加密**：将一个TAK从LMK加密方式转换为ZMK加密方式。 - **2.7.4 将TAK从LMK转为TMK加密**：将一个TAK从LMK加密方式转换为TMK加密方式。 - **2.8 PIN和Offset的生成** - 包括生成PIN及相关的偏移量等操作。 - **2.8.1 使用IBM方式得到一个PIN**：按照IBM规定的算法生成一个PIN。 - **2.8.2 使用Diebold的方式得到一个PIN**：按照Diebold规定的算法生成一个PIN。 - **2.8.3 生成一个随机的PIN**：生成一个随机的PIN。 - **2.8.4 生成一个IBM方式的PINOffset**：生成一个符合IBM规定的PIN偏移量。 - **2.8.5 生成一个Diebold的PINOffset**：生成一个符合Diebold规定的PIN偏移量。 - **2.8.6 生成一个VISA的PIN校验值**：生成一个符合VISA规定的PIN校验值。 - **2.9 PIN校验** - 包括对不同格式的PIN进行校验的操作。 - **2.9.1 校验一个用IBM方式的终端PIN**：验证一个按照IBM规定生成的终端PIN是否正确。 - **2.9.2 校验一个用IBM方式的、用于交换的PIN**：验证一个按照IBM规定生成的用于交换的PIN是否正确。 - **2.9.3 校验一个用Diebold方式的终端PIN**：验证一个按照Diebold规定生成的终端PIN是否正确。 - **2.9.4 校验一个用Diebold方式的、用于交换的PIN**：验证一个按照Diebold规定生成的用于交换的PIN是否正确。 - **2.9.5 校验一个用VISA方式的终端PIN**：验证一个按照VISA规定生成的终端PIN是否正确。 - **2.9.6 校验一个用VISA方式的、用于交换的PIN**：验证一个按照VISA规定生成的用于交换的PIN是否正确。 - **2.9.7 校验一个用比对方式的终端PIN**：通过比较验证终端PIN是否正确。 - **2.9.8 校验一个用比对方式的、用于交换的PIN**：通过比较验证用于交换的PIN是否正确。 - **2.10 PIN翻译** - 包括PIN从一种格式翻译到另一种格式的操作。 - **2.10.1 将PIN从一个ZPK翻译到另一个ZPK**：将一个PIN从一个ZPK格式翻译到另一个ZPK格式。 以上内容概括了《加密机手册》中涉及的主要知识点和技术细节，为读者提供了关于银行金融领域加密技术的基础理解。