Validation du KEK - AWS Cryptographie des paiements

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Validation du KEK

Exemple de schéma de réseau de haut niveau pour une application PIN utilisant la cryptographie des AWS paiements

Lorsque votre service (node1) se connecte au nœud 2, chaque partie s'assure qu'elle utilise le même KEK pour les opérations suivantes à l'aide d'un processus appelé validation KEK.

1. Étapes pour valider la première clé

1.1 Recevoir KRs

Node2 générera un KRs et vous l'enverra dans le cadre du processus de connexion. Ils peuvent utiliser la cryptographie des AWS paiements pour générer cette valeur ou une autre solution.

1.2 Générer une réponse de validation KEK

Votre nœud générera une réponse de validation KEK avec des entrées telles que le KEK (r) et celui KRs fourni à l'étape 1.

cat >> generate-kek-validation-response.json
{
    "KekValidationType": {
        "KekValidationResponse": {
            "RandomKeySend": "9217DC67B8763BABCFDF3DADFCD0F84A"
        }
    },
    "RandomKeySendVariantMask": "VARIANT_MASK_82",
    "KeyIdentifier": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ov6icy4ryas4zcza"
}

$ aws payment-cryptography-data generate-as2805-kek-validation --cli-input-json file://generate-kek-validation-response.json
{
 "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ov6icy4ryas4zcza",
 "KeyCheckValue": "0A3674",
 "RandomKeyReceive": "A4B7E249C40C98178C1B856DB7FB76EB",
 "RandomKeySend": "9217DC67B8763BABCFDF3DADFCD0F84A"
}
1.3 Rendement calculé KRr

Renvoie le résultat calculé KRr à node2. Ce nœud la comparera à la valeur calculée à l'étape 1.

2. Étapes pour valider la deuxième clé

2.1 Générer KRr et KRs

Votre nœud générera une valeur aléatoire et une copie inversée (inversée) de cette valeur à l'aide de la cryptographie des AWS paiements. Le service produira ces deux valeurs encapsulées par le ou les KEK. Ils sont appelés KR (s) et KR (r).

cat >> generate-kek-validation-request.json 
{
    "KekValidationType": {
        "KekValidationRequest": {
            "DeriveKeyAlgorithm": "TDES_2KEY"
        }
    },
"RandomKeySendVariantMask": "VARIANT_MASK_82",
    "KeyIdentifier": "arn:aws:payment-cryptography:us-east-2:111122223333:key/rhfm6tenpxapkmrv"
}

$ aws payment-cryptography-data generate-as2805-kek-validation --cli-input-json file://generate-kek-validation-request.json
{
 "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/rhfm6tenpxapkmrv",
 "KeyCheckValue": "DC1081",
 "RandomKeyReceive": "A4B7E249C40C98178C1B856DB7FB76EB",
 "RandomKeySend": "9217DC67B8763BABCFDF3DADFCD0F84A"
}
2.2 Envoyer KRs vers node2

Envoyez-le KRs au nœud 2. Conservez-le KRr pour une validation ultérieure.

2.3 Node2 génère une réponse de validation KEK

Node2 utilise le KEKr et KRs, le génère KRr et le renvoie à votre service.

2.4 Valider la réponse

Comparez KRr la valeur obtenue à l'étape 1 et la valeur renvoyée à l'étape 3. S'ils correspondent, continuez.