Clés d'importation et d'exportation - AWS Cryptographie des paiements

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Clés d'importation et d'exportation

AWS Les clés de chiffrement des paiements peuvent être importées depuis d'autres solutions ou exportées vers d'autres solutions (telles que d'autresHSMs). Il s'agit d'un cas d'utilisation courant pour échanger des clés avec des fournisseurs de services à l'aide des fonctionnalités d'importation et d'exportation. En tant que service cloud, AWS Payment Cryptography adopte une approche électronique moderne de la gestion des clés tout en vous aidant à maintenir la conformité et les contrôles applicables. L'objectif à long terme est d'abandonner les composants clés sur support papier au profit de moyens électroniques normalisés d'échange de clés.

Échange de clé de chiffrement (KEK)

AWS La cryptographie des paiements encourage l'utilisation de la cryptographie à clé publique (RSA) pour l'échange initial de clés en utilisant la norme bien établie ANSIX9.24 TR-34. Les noms courants de ce type de clé initial incluent Key Encryption Key (KEK), Zone Master Key (ZMK) et Zone Control Master Key (ZCMK). Si vos systèmes ou partenaires ne sont pas encore en mesure de prendre en charge le TR-34, vous pouvez également envisager d'utiliser RSA Wrap/Unwrap.

Si vous devez continuer à traiter les composants clés en papier jusqu'à ce que tous les partenaires acceptent l'échange électronique de clés, vous pouvez envisager de le conserver hors ligne HSM à cette fin.

Note

Si vous souhaitez importer vos propres clés de test, veuillez consulter l'exemple de projet sur Github. Pour obtenir des instructions sur la façon d'importer/exporter des clés depuis d'autres plateformes, veuillez consulter le guide de l'utilisateur de ces plateformes.

Échange de clés de travail (WK)

AWS La cryptographie des paiements utilise la norme industrielle pertinente (ANSIX9.24 TR 31-2018) pour échanger des clés de travail. Le TR-31 suppose que KEK a déjà été échangé. Cela est conforme PCI PIN à l'exigence de lier cryptographiquement le matériel clé à son type de clé et à son utilisation à tout moment. Les clés de travail ont différents noms, notamment les clés de travail de l'acquéreur, les clés de travail de l'émetteur BDKIPEK, etc.

Rubriques