DUKPTモジュール
(暗号・復号化ソリューション)

イージーウェアは、クレジット取引に利用される暗号化技術DUKPTを実現するDUKPTモジュールを開発しました。

DUKPTについて

DUKPT(Derived Unique Key Per Transaction)は、トランザクション毎にユニークな暗号鍵を各ポイントで生成する仕組みです。標準仕様としてANSI(米国工業規格) X9.24 part1で規格化されています。

DUKPT
カード情報を瞬時に暗号化
PCに接続されたセキュアキーパッドや、スマートフォン決済時に利用されるセキュアドングルにより、取り込んだカード情報を瞬時に暗号化(TDEA or AES)を行います。
暗号化データを送信
暗号化されたデータはネットワーク上を流れますが、その時利用された暗号鍵情報(トランザクション毎に一意な暗号鍵)は一切送信されません。
暗号鍵を導出し復号化
決済センター側のサーバではベースキー(Base Derivation Key:BDK)高度な演算を行い暗号鍵を導出し復号化を行います。P2PEを実現する強力なセキュリティーが保たれる事となります。
次回暗号化時に暗号鍵を変更
暗号化時に利用される鍵は、データを送出する度に都度変更されます。暗号鍵は、一度限りの利用となり再利用されることはありません。

DUKPT利用における注意点

初期作成されたベースキー(BDK)とカード情報入力回数(暗号カウンター)を利用して鍵生成をしていく構造のため、生成できる鍵情報には上限があります。

※上限は約100万回
※簡単な計算では1デバイス当たり5分に1回で約10年

上限を超えた端末は実質利用できなくなります。 DUKPT仕様には、端末機器と決済サーバ(DUKPT復号化サーバー)の間での相互信頼認証機能が存在しないために、別途PC用アプリやスマートフォン等とサーバーの間で、システム同士の相互信頼認証機構を考慮する必要があります。

※例えば、システムへのログイン機能などの認証仕様を考慮する必要があります。
※クライアント側の決済アプリが指定IP(決済サーバー)にカードデータを送信するだけの単純な構造の場合、サーバー偽装や乗っ取りをされた場合に情報を盗まれる可能性がありますが、ベースキー(BDK)の流出さえなければ、暗号データの復号は不可能となるために一定のセキュリティーは保たれます。