本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
匯入和匯出金鑰
AWS 付款密鑰可以從其他解決方案導入或導出到其他解決方案(例如其他HSMs)。使用匯入和匯出功能與服務提供者交換金鑰是常見的使用案例。作為一項雲端服務, AWS 付款密碼學採用現代化的電子化方法進行金鑰管理,同時協助您維護適用的合規性與控制。我們的長期目標是遠離 paper 張關鍵元件,邁向以標準為基礎的電子金鑰交換方式。
- 金鑰加密金鑰 (KEK) 交換
-
AWS 支付密碼學鼓勵使用公鑰密碼學(RSA)使用完善的 ANSIX9.24 TR-34 規範進行初始密鑰交換。此初始金鑰類型的一般名稱包括金鑰加密金鑰 (KEK)、區域主要金鑰 (ZMK) 和區域控制主要金鑰 (ZCMK)。如果您的系統或合作夥伴尚未支援 TR-34,您也可以考慮使用RSA包裝/展開。
如果您需要繼續處理 paper 本關鍵元件,直到所有合作夥伴都支援電子金鑰交換,您可以考慮HSM為此目的保留離線狀態。
注意
如果您想導入自己的測試密鑰,請查看 Github
上的示例項目。如需如何從其他平台匯入/匯出金鑰的說明,請參閱這些平台的使用者指南。 - 工作密鑰(WK)交換
-
AWS 支付密碼學使用相關的行業規範(ANSIX9.24 TR 31-2018)來交換工作密鑰。TR-31 假設一個先前KEK已被交換過。這與密碼編譯將密鑰材料綁定到其密鑰類型和用法的PCIPIN要求一致。工作密鑰具有各種名稱,包括獲取者工作密鑰,發行人工作密鑰IPEK等。BDK
