Validierung von KEK - AWS Kryptografie im Zahlungsverkehr

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Validierung von KEK

Beispiel für ein übergeordnetes Netzwerkdiagramm für PIN-Anwendungen, die AWS Zahlungskryptografie verwenden

Wenn Ihr Dienst (node1) eine Verbindung zu node2 herstellt, stellt jede Seite mithilfe eines Prozesses namens KEK-Validierung sicher, dass sie für nachfolgende Operationen denselben KEK verwenden.

1. Schritte zur Validierung des ersten Schlüssels

1.1 Empfangen KRs

Node2 generiert eine KRs und sendet sie Ihnen als Teil des Anmeldevorgangs. Sie können AWS Zahlungskryptografie verwenden, um diesen Wert oder eine andere Lösung zu generieren.

1.2 Generieren Sie eine Antwort auf die KEK-Validierung

Ihr Knoten generiert eine KEK-Validierungsantwort mit den Eingaben KEK (r) und den in Schritt 1 KRs angegebenen Eingaben.

cat >> generate-kek-validation-response.json
{
    "KekValidationType": {
        "KekValidationResponse": {
            "RandomKeySend": "9217DC67B8763BABCFDF3DADFCD0F84A"
        }
    },
    "RandomKeySendVariantMask": "VARIANT_MASK_82",
    "KeyIdentifier": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ov6icy4ryas4zcza"
}

$ aws payment-cryptography-data generate-as2805-kek-validation --cli-input-json file://generate-kek-validation-response.json
{
 "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ov6icy4ryas4zcza",
 "KeyCheckValue": "0A3674",
 "RandomKeyReceive": "A4B7E249C40C98178C1B856DB7FB76EB",
 "RandomKeySend": "9217DC67B8763BABCFDF3DADFCD0F84A"
}
1.3 Rendite berechnet KRr

Gibt das Berechnete KRr an node2 zurück. Dieser Knoten vergleicht ihn mit dem berechneten Wert aus Schritt 1.

2. Schritte zur Validierung des zweiten Schlüssels

2.1 Generieren KRr und KRs

Ihr Node generiert mithilfe von AWS Payment Cryptography einen zufälligen Wert und eine invertierte (umgekehrte) Kopie dieses Werts. Der Dienst gibt diese beiden Werte zusammen mit dem/den KEK (s) aus. Diese werden als KR (s) und KR (r) bezeichnet.

cat >> generate-kek-validation-request.json 
{
    "KekValidationType": {
        "KekValidationRequest": {
            "DeriveKeyAlgorithm": "TDES_2KEY"
        }
    },
"RandomKeySendVariantMask": "VARIANT_MASK_82",
    "KeyIdentifier": "arn:aws:payment-cryptography:us-east-2:111122223333:key/rhfm6tenpxapkmrv"
}

$ aws payment-cryptography-data generate-as2805-kek-validation --cli-input-json file://generate-kek-validation-request.json
{
 "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/rhfm6tenpxapkmrv",
 "KeyCheckValue": "DC1081",
 "RandomKeyReceive": "A4B7E249C40C98178C1B856DB7FB76EB",
 "RandomKeySend": "9217DC67B8763BABCFDF3DADFCD0F84A"
}
2.2 An Node2 senden KRs

Sende das an KRs Node2. Bewahren Sie das KRr für eine spätere Überprüfung auf.

2.3 Node2 generiert eine KEK-Validierungsantwort

Node2 verwendet das KEKr und KRs, generiert das KRr und sendet es an Ihren Dienst zurück.

2.4 Antwort validieren

Vergleichen Sie den Wert KRr aus Schritt 1 mit dem in Schritt 3 zurückgegebenen Wert. Wenn sie übereinstimmen, fahren Sie fort.