Smart Card Guy

Smart Card / Java Card, Cyber Security, IoT Device Security, Root of Trust, 標準化等

PCI DSS情報 - 日本語情報

Link

PCI DSSの認証種類

[引用元 - Penta Security : PCI DSSの認証仕組み] f:id:blog-guy:20171027181150p:plain

1. PCI PTS(PIN Transaction Security)

クレジットカード端末機などのハードウェア設計および検証の基準

2. PCI PA-DSS(Payment Application Data Security Standard)

アプリケーション開発会社を対象とする認証基準

3. PCI DSS(Data Security Standard)

クレジットカードインフラ全般にわたってネットワークとシステム構成が安全なのかなどを総合的に判断する基準

4. PCI P2PE(Point to Point Encryption)

ただの暗号化ではなく、P2P暗号化、すなわちクレジットカード端末機からカード会社のアプリケーションを経てデータベースに保存されるまで、データが移動する全過程にわたった暗号化。End to End Encryptionの方が分かりやすいような・・・

PCI DSS QSA

  • https://www.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors

  • 2016/09現在以下のようなQSA

    • ASR.Co., LTD
    • BroadBand Security, Inc. (BBSec)
    • BSI Group Japan K.K.
    • Deloitte Tohmatsu Risk Services
    • Fujitsu Limited
    • Infosec Corporation
    • International Certificate Authority of Management System
    • Net One Systems Co., Ltd.
    • NRI Secure Technologies LTD
    • NTT Data Intellilink Corporation
    • Payment Card Forensics, Inc. (PCF)
    • Secure Pro Inc.

基本用語・略語

  • PCI DSS : Payment Card Industry Data Security Standards。 国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理
  • Acquirer / Merchant / Service provider
  • PAN : Primary Account Number (the up-to-19-digit payment card number).
  • TPPs – Third Party Processors
  • DSEs – Data Storage Entities
  • QSA : 審査機関 (QSA=Qualified Security Assessor)
  • ISA : Internal Security Assessor
  • ASV : Approved Scanning Vendor

IC Card AID / RID

概要

  • ICカード(接触型)の標準仕様である、ISO/IEC 7816の中の7816-5で定義
  • AID (Application Identifier) : ICカード情報上のアプリケーションの識別子
  • AID = RID (5 bytes) + PIX (- 11 bytes)
  • RID (Registered Application Provider Identifier ) : アプリを提供するProviderのID
  • PIX (Proprietary Application Identifier Extension ) : Providerが自分たちのアプリを識別するためのID
  • JISではJIS X 6320-5:2006 (ICカード―第5部:アプリケーション提供者識別子の登録)により、日本国内のみのサービスも定義する

実例

Global
  • Sun Microsystems Inc. : [A000000062]
    • Global RIDに登録されている
    • Oracle(2010年Sunを買収) Java Card Dev Kitが提供するサンプルアプリのRIDもこの値
日本
  • Dai Nippon Printing Co., Ltd. (DNP) : [A000000168]
  • Toppan Printing Co. Ltd. : [A000000142]
  • Toshiba Corporation : [A000000370]
  • Sony Corporation : [A000000317]
JIS RID
  • 全国銀行協会 : [D392001061]
    • JIS RIDに登録されている

Link

Java Card コマンドラインツール

全体を理解するためのドキュメント

Figures

Dev Kit Tools

コマンドラインツール

Converter

converter (converter.bat)
  • Exportファイル、Java Class / PackageファイルをCAPへ変換(オプションでJCAへ変換)。
  • Converterは一度に一つのJava Packageしか変換できない ⇒ このため、Exportファイル(Package間の関連性を定義)が必要になる
  • JCAはCAPのテキストファイル。テスト・デバッグ用途
  • https://docs.oracle.com/javacard/3.0.5/guide/running-converter.htm#JCUGC202
capgen (capgen.bat)

Off-card verifier

verifycap (verifycap.bat)

https://docs.oracle.com/javacard/3.0.5/guide/verifying-cap-files.htm#JCUGC344

verifyexp (verifyexp.bat)

https://docs.oracle.com/javacard/3.0.5/guide/verifying-export-files.htm#JCUGC346

verifyrev (verifyrev.bat)

https://docs.oracle.com/javacard/3.0.5/guide/verifying-binary-compatibility.htm#JCUGC350

Off-card installer

scriptgen (scriptgen.bat)
apdutool (apdutool.bat)

https://docs.oracle.com/javacard/3.0.5/guide/sending-and-receiving-apdus.htm#JCUGC261

cref (cref.bat, cref_t0.exe, cref_t1.exe, cref_tdual.exe, )

On-card installer

その他ツール

capdump

CAPファイルのDump(ASCII形式)を取るファイル

maskgen (maskgen.bat)

https://docs.oracle.com/javacard/3.0.5/guide/running-maskgen.htm#JCUGC329

exp2text (exp2text.bat)

Exportファイルをテキストで表示してくれる。

Normalizer

Java Card 2.xのCAPを3.x用に変換してくれるツール。Java Card 3.xだけで作るのであれば不要。

様々なファイル形式

ファイル形式 拡張子 説明
Class .class .javaからコンパイル後のclassファイル
CAP .cap Converterにより作られるバイナリファイル(JARフォーマット)
JCA (Java Card Assembly) .jca CAPのテキスト版
Export .exp
Script .scr ADPUコマンドで構成されるapduスクリプトファイル