当卡处于 OP_READY 状态时,ISD 初始化密钥从何而来?

where does ISD init keys come from while card in OP_READY status?

最近在研究Global Platfrom Card。我在阅读规格时遇到了问题。 规范 2.2.1 在 OP_READY 状态下提到,它能够加载、安装 Supplementary Security Domains。这是 Card 最开始的状态。 但是,它还提到安装补充安全域,"An initial key shall be available within the Issuer Security Domain."。这让我很困惑。 哪里有初始密钥? 是出厂前植入的吗?

我发现一些文档说,ISD 的初始密钥与 "Key diversification data" 不同,后者通过执行 "INITIALIZE UPDATE" 请求返回。这是真的?如何从这些数据生成初始密钥?

非常感谢您的回答!!!

密钥在个性化阶段隐式植入。我建议还阅读 Common Criteria protection profiles and/or javacard security targets 以更好地了解 GP 规范和整个生命周期。