View a markdown version of this page

Physischer Schlüsselaustausch - AWS Kryptografie für Zahlungen
So funktioniert der physische SchlüsselaustauschSicherheit und Compliance

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Physischer Schlüsselaustausch

Sie können Physical Key Exchange verwenden, um kryptografische Schlüsselkomponenten auf Papierbasis sicher in ein elektronisches Format umzuwandeln, wenn Ihre Partner oder Lieferanten den elektronischen Schlüsselaustausch nicht unterstützen. Geschulte AWS Schlüsselverwalter führen wichtige Zeremonien in PCI-PIN- und P2PE-zertifizierten AWS-operated Sicherheitseinrichtungen durch und konvertieren Schlüsselkomponenten aus paper mithilfe eines Offline-HSM in ein elektronisches Format. Der Service verwendet den ECDH-based Schlüsselaustausch, um einen ECDH-wrapped TR-31 Schlüsselblock bereitzustellen, den Sie direkt in Ihr Payment Cryptography-Konto importieren. AWS

Anmerkung

Wir empfehlen, wann immer möglich, auf Standards basierende Standards Schlüssel importieren und exportieren zu verwenden. Verwenden Sie Physical Key Exchange nur, wenn Ihre Partner oder Anbieter elektronische Schlüsselaustauschmethoden wie ANSI X9.24 TR-34, RSA wrap/unwrap oder ECDH nicht unterstützen.

So funktioniert der physische Schlüsselaustausch

Um den Schlüsselaustausch in paper zu initiieren, führt Sie eine CloudFormation Vorlage durch die Einrichtung der Voraussetzungen, einschließlich der Erstellung eines ECC-Schlüsselpaars und eines S3-Buckets in Ihrem Konto. Sie oder Ihr Partner versenden dann wichtige Komponenten in paper an die AWS sichere Einrichtung, wo geschulte AWS Schlüsselverwalter die Schlüsselzeremonie mithilfe eines Offline-HSM durchführen. Die Ausgabe ist ein ECDH-wrapped TR-31 Schlüsselblock, der in Ihren S3-Bucket hochgeladen wird und den Sie mit dieser Methode in Ihr Konto importieren. Importieren Sie Schlüssel mithilfe asymmetrischer Techniken (ECDH) Physical Key Exchange unterstützt den Import von KEK-Schlüsseln (Schlüsselverwendung K1) oder BDK-Schlüsseln (Schlüsselverwendung B0) sowohl in TDES- als auch in AES-Schlüsselalgorithmen.

Das folgende Diagramm zeigt den gesamten Prozess des physischen Schlüsselaustauschs.

Prozessablauf beim Austausch physischer Schlüssel

  1. Einleitung — Sie reichen ein Support-Ticket ein oder arbeiten mit Ihrem Kundenbetreuer zusammen, um eine Anfrage einzureichen.

  2. Kundenkonfiguration — AWS Payment Cryptography bietet eine CloudFormation Vorlage, mit der Sie die folgenden erforderlichen Schritte ausführen können:

    • Erstellen Sie ein ECC P521-Schlüsselpaar in Ihrem AWS Payment Cryptography-Konto und rufen Sie das Public-Key-Zertifikat ab.

    • Erstellen Sie einen Amazon S3 S3-Bucket mit einer Richtlinie, die dem AWS Payment Cryptography Service read/write Principalzugriff gewährt.

    • Speichern Sie das öffentliche ECC-Zertifikat und die signierende Root-CA im Amazon S3 S3-Bucket.

    • Geben Sie wichtige Attribute an: Schlüsselverwendung, Hauptverwendungsarten und Anzahl der zu sendenden Papierschlüsselkomponenten.

  3. S3-Bucket-Namen teilen — Der Kunde teilt den vom CloudFormation Stack erstellten S3-Bucket-Namen, in dem das Public-Key-Zertifikat, die Zertifikatskette und die Schlüsselattribute gespeichert werden, damit AWS Payment Cryptography den Schlüsselaustausch initiieren kann.

  4. Versandkoordination — AWS Payment Cryptography stellt die Versanddetails für die US-based sichere Einrichtung bereit. Sie oder Ihr Partner versenden wichtige Papierkomponenten an die AWS wichtigsten Depotverwalter.

  5. Empfang der Komponenten — AWS wichtige Depotverwalter erhalten jede Papierkomponente und senden für jede Komponente eine separate Bestätigung.

  6. Schlüsselzeremonie — AWS Schlüsselverwalter führen die Schlüsselzeremonie mithilfe eines Offline-HSM durch. Der resultierende TR-31 Schlüsselblock, verpackt in einen ECDH-derived AES-256 Schlüssel, das öffentliche ECC-Zertifikat aus dem Offline-HSM und das zugehörige Signaturzertifikat werden in Ihren Amazon S3 S3-Bucket hochgeladen.

  7. Abschluss — AWS Payment Cryptography sendet eine Bestätigung, dass die Schlüsselzeremonie abgeschlossen ist. Anschließend können Sie den in ECDH verpackten TR-31 Schlüsselblock mithilfe dieser Methode in Ihr AWS Payment Cryptography-Konto importieren. Importieren Sie Schlüssel mithilfe asymmetrischer Techniken (ECDH)

  8. Abrechnung — Nach erfolgreichem Abschluss der Schlüsselzeremonie wird Ihnen pro ausgetauschtem Schlüssel eine Rechnung gestellt.

Sicherheit und Compliance

Physical Key Exchange wird in AWS sicheren Einrichtungen betrieben, die darauf ausgelegt sind, die physischen und logischen Sicherheitsanforderungen von PCI PIN und PCI P2PE zu erfüllen. Die folgenden Kontrollen sind vorhanden:

Doppelte Kontrolle und Aufgabentrennung

AWS Die wichtigsten Depotverwalter werden aus verschiedenen Teams mit unterschiedlichen Berichtsstrukturen zugewiesen. Es gibt Verfahren, die sicherstellen, dass die wichtigsten Schritte der Zeremonien unter doppelter Kontrolle durchgeführt werden.

Offline-HSM

Wichtige Zeremonien werden mit zertifizierten HSM-listed PCI-PTS-Hardwaresicherheitsmodulen durchgeführt, die offline ohne Netzwerkverbindung betrieben werden können. Ihr Schlüssel existiert nie im Klartext außerhalb der HSM-Grenze.

Lieferung kryptografischer Schlüssel

Schlüsselmaterial wird per ECDH-based Schlüsselaustausch vom Offline-HSM auf Ihr AWS Payment Cryptography-Konto übertragen, wodurch ein umfassender kryptografischer Schutz gewährleistet ist.

Prüfung und Einhaltung der Vorschriften

AWS verfügt über Prozesse zur Erfüllung der geltenden Compliance-Anforderungen, die regelmäßig im Hinblick auf PCI-PIN- und P2PE-Bescheinigungen überprüft werden. Suchen Sie im Compliance-Paket in AWS Artifact nach Berichten, auf die Sie in Ihren eigenen PCI-Bewertungen Bezug genommen haben.