翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
キーのインポートとエクスポート
AWS Payment Cryptography キーは、他のソリューションからインポートすることも、他のソリューション (他の HSMs。インポートおよびエクスポート機能を使用してサービスプロバイダーとキーを交換するのが一般的な使用例です。クラウドサービスである AWS Payment Cryptography は、適用されるコンプライアンスとコントロールを維持しながら、最新の電子的アプローチでキー管理を行います。長期的な目標は、ペーパーベースの主要コンポーネントから標準ベースの電子的なキー交換手段に移行することです。
- キー暗号化キー (KEK) 交換
-
AWS Payment Cryptography は、十分に確立された ANSI X9.24 TR-34 標準を使用して、初期キー交換にパブリックキー暗号化 (RSA) の使用を推奨します。この初期キータイプの共通名には、キー暗号化キー (KEK)、ゾーンマスターキー (ZMK)、ゾーンコントロールマスターキー (ZCMK) が含まれます。システムまたはパートナーが TR-34 をまだサポートしていない場合は、RSA ラップ/アンラップ の利用を検討することもできます。
すべてのパートナーが電子キー交換をサポートするまでペーパーキーコンポーネントの処理を続ける必要がある場合は、この目的でオフライン HSM を保持することを検討してください。
注記
独自のテストキーをインポートしたい場合は、Github
のサンプルプロジェクトをチェックしてください。他のプラットフォームからキーをインポート/エクスポートする方法については、そのプラットフォームのユーザーガイドを参照してください。 - ワーキングキー (WK) 交換
-
AWS Payment Cryptography は、関連する業界基準 (ANSI X9.24 TR 31-2018) を使用して作業キーを交換します。TR-31 は KEK が既に交換されていることを前提としています。これは、キーの内容をキーのタイプと用途に常に暗号的に結び付けるという PCI PIN の要件と一致しています。作業キーには、アクワイアラー作業キー、発行者作業キー、BDK、IPEK など、さまざまな名前があります。
