Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Schlüssel importieren und exportieren
Sie können AWS Payment Cryptography Keys aus anderen Lösungen importieren und sie in andere Lösungen wie HSMs exportieren. Viele Kunden tauschen Schlüssel mithilfe von Import- und Exportfunktionen mit Dienstanbietern aus. Wir haben die AWS Zahlungskryptografie so konzipiert, dass sie einen modernen, elektronischen Ansatz für die Schlüsselverwaltung verwendet, der Ihnen hilft, die Einhaltung von Vorschriften und Kontrollen aufrechtzuerhalten. Wir empfehlen die Verwendung eines standardbasierten elektronischen Schlüsselaustauschs anstelle von Schlüsselkomponenten auf Papierbasis. Wenn Sie weiterhin Schlüsselkomponenten aus paper verarbeiten müssen, bis alle Partner den elektronischen Schlüsselaustausch unterstützen, können Sie verwendenPhysischer Schlüsselaustausch.
- Minimale Schlüsselstärken und Auswirkung auf Import- und Exportfunktionen
-
PCI erfordert bestimmte Mindestschlüsselstärken für kryptografische Operationen, Schlüsselspeicherung und Schlüsselübertragung. Diese Anforderungen können sich ändern, wenn die PCI-Standards überarbeitet werden. Die Regeln legen fest, dass Wrapping-Schlüssel, die für die Speicherung oder den Transport verwendet werden, mindestens so stark sein müssen wie der zu schützende Schlüssel. Wir setzen diese Anforderung beim Export automatisch durch und verhindern, dass Schlüssel durch schwächere Schlüssel geschützt werden, wie in der folgenden Tabelle dargestellt.
In der folgenden Tabelle sind die unterstützten Kombinationen von Schlüsseln, zu schützenden Schlüsseln und Schutzmethoden aufgeführt.
Schlüssel zum Umschließen Schlüssel zum Schutz TDES_2KEY TDES_3KEY AES_128 AES_192 AES_256 RSA_2048 RSA_3072 RSA_4096 ECC_P256 ECC_P384 ECC P521 Hinweise TDES_2-SCHLÜSSEL TR-31 TR-31 TR-31 TR-31 TR-31 TR-34, RSA TR-34, RSA TR-34, RSA ECDH ECDH ECDH TDES_3-SCHLÜSSEL ✗ Wird nicht unterstützt TR-31 TR-31 TR-31 TR-31 TR-34, RSA TR-34, RSA TR-34, RSA ECDH ECDH ECDH AES 128 ✗ Nicht unterstützt ✗ Nicht unterstützt TR-31 TR-31 TR-31 ✗ Nicht unterstützt TR-34, RSA TR-34, RSA ECDH ECDH ECDH AES 192 ✗ Nicht unterstützt ✗ Nicht unterstützt ✗ Nicht unterstützt TR-31 TR-31 ✗ Nicht unterstützt ✗ Nicht unterstützt ✗ Nicht unterstützt ✗ Nicht unterstützt ECDH ECDH AES_256 ✗ Nicht unterstützt ✗ Nicht unterstützt ✗ Nicht unterstützt ✗ Nicht unterstützt TR-31 ✗ Nicht unterstützt ✗ Nicht unterstützt ✗ Nicht unterstützt ✗ Nicht unterstützt ✗ Nicht unterstützt ECDH Weitere Informationen finden Sie in Anhang D — Minimale und äquivalente Schlüsselgrößen und Stärken zugelassener Algorithmen
in den PCI-HSM-Standards. - Austausch des Schlüsselverschlüsselungsschlüssels (KEK)
-
Wir empfehlen die Verwendung des X9.24 TR-34ANSI-Standards. Dieser anfängliche Schlüsseltyp kann als Key Encryption Key (KEK), Zone Master Key (ZMK) oder Zone Control Master Key (ZCMK) bezeichnet werden. Wenn Ihre Systeme oder Partner TR-34 noch keinen Support bieten, können Sie RSA verwenden. Wrap/Unwrap Wenn Sie den Austausch von AES-256 Schlüsseln benötigen, können Sie ECDH verwenden.
Anmerkung
Um Ihre eigenen Testschlüssel zu importieren oder Schlüssel mit Ihren vorhandenen HSMs zu synchronisieren, sehen Sie sich bitte den Beispielcode für AWS Payment Cryptography unter an. GitHub
- Working Key (WK) Exchange
-
Wir verwenden Industriestandards (ANSI X9.24 TR 31-2018 und X9.143) für den Austausch von Arbeitsschlüsseln. Dies setzt voraus, dass Sie bereits einen KEK mithilfe von RSA Wrap TR-34, ECDH oder ähnlichen Schemata ausgetauscht haben. Dieser Ansatz erfüllt die PCI-PIN-Anforderung, Schlüsselmaterial jederzeit kryptografisch an seinen Typ und seine Verwendung zu binden. Zu den Arbeitsschlüsseln gehören Acquirer-Arbeitsschlüssel, Issuer-Arbeitsschlüssel, BDK und IPEK.
