En criptografía, clave derivada única por transacción (DUKPT)  es un sistema de gestión de claves en la que para cada transacción, se utiliza una clave única que se deriva de una clave establecida. Por lo tanto, si se llega a ver comprometida una clave derivada, los datos de las transacciones anteriores y posterioressiguen protegidas ya que las claves siguientes o anteriores no se pueden determinar fácilmente. La especificación DUKPT se detalla en la norma ANSI X9.24 parte 1.

DUKPT permite que el procesamiento del cifrado se haga en un lugar diferente del que gestiona la clave. El cifrado se realiza con una clave derivada, que no se vuelve a utilizar después de la transacción. DUKPT se utiliza para cifrar transacciones de comercio electrónico. Aunque podría utilizarse  para proteger la información entre dos empresas o bancos, normalmente se utiliza para cifrar la información de PIN adquirida por los terminales punto de venta (TPV) .

DUKPT por sí mismo no es un estándar de cifrado; más bien es una técnica de gestión de claves . Las características de un entorno de uso de DUKPT son:

• permite  a las partes que intervienen en una transacción acordar la clave que se utiliza para una transacción dada
• cada transacción tendrá una clave distinta de todas las demás transacciones , excepto por coincidencia vcasual
• si llega comprometerse una clave derivada, las  anteriores y posteriores (y por lo tanto los datos de transacciones cifradas con ellas) no están en riesgo
• cada dispositivo genera una secuencia de claves diferente
• los extremos de la comunicación no necesitan preacordar de forma interactiva la clave.

 

Descripción

Hay dos componentes principales en la creación de un entorno de transacción DUKPT: una Clave de Derivación Base (Base Derivation Key, BDK) y un Número de Serie de Clave (Key Serial Number, KSN) único.

El módulo de seguridad de hardware responsable de inyectar las claves contiene un contador que se incrementa cada vez que se añade un nuevo dispositivo a la red. Este contador se cifra utilizando la BDK, lo que da como resultado la clave inicial DUKPT que se inyecta en el dispositivo.

Esta clave inicial se utiliza posteriormente para crear un conjunto de claves de transacción, cada una con un modificador para diferentes usos de la clave. El contador también se utiliza para formar el KSN del dispositivo.

Todas las transacciones que utilicen DUKPT incluirán el KSN. Los números de serie de las claves desempeñan un papel integral en el proceso DUKPT, ya que permiten al HSM identificar qué clave inicial se utilizó para cifrar los datos.

Tal como se especifica en la norma ANS X9.24-1, DUKPT utiliza un KSN de 10 bytes, que suele representarse como una secuencia de 20 caracteres hexadecimales en la que cada byte del KSN está representado por un par de caracteres hexadecimales.

Cuando se introduce un PIN en el terminal de punto de venta, se formatea en un bloque de PIN. A continuación, este bloque de PIN se cifra mediante Triple DES utilizando la clave de transacción actual, que se elige del conjunto de claves creado por la clave inicial.

Junto con información como el KSN, el bloque PIN se envía a la aplicación host, donde la información se utiliza para verificar la identidad del dispositivo de origen.

Una vez en manos de la aplicación host, el bloque PIN puede traducirse utilizando un esquema de gestión de claves diferente.

Una vez enviado el bloque PIN a la aplicación host, el KSN se incrementa en una cantidad definida por el usuario, normalmente 1, y luego se utiliza con la clave de transacción actual para crear más claves futuras.

Una vez generadas las claves futuras, la clave de transacción actual se borra del sistema, eliminando del dispositivo cualquier información sobre una transacción anterior. Después, el dispositivo estará listo para extraer una clave futura para la siguiente transacción.

Al utilizar la clave de cifrado actual para formar la clave que se utilizará en la siguiente transacción, DUKPT forma un sistema de autorreciclado que fomenta la seguridad, la eficacia y la facilidad de implementación.