View a markdown version of this page

Importación y exportación de claves - AWS Criptografía de pagos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Importación y exportación de claves

Puede importar claves de criptografía de AWS pagos desde otras soluciones y exportarlas a otras soluciones, como los HSM. Muchos clientes intercambian claves con los proveedores de servicios mediante la funcionalidad de importación y exportación. Diseñamos la criptografía de AWS pagos para utilizar un enfoque electrónico moderno en la gestión de claves que le ayude a mantener el cumplimiento y los controles. Recomendamos utilizar el intercambio electrónico de claves basado en estándares en lugar de componentes clave en papel. Si necesita seguir procesando componentes clave en papel hasta que todos los socios admitan el intercambio electrónico de claves, puede utilizarIntercambio de claves físicas.

Puntos clave mínimos y efecto en las funciones de importación y exportación

La PCI requiere fortalezas clave mínimas específicas para las operaciones criptográficas, el almacenamiento y la transmisión de claves. Estos requisitos pueden cambiar cuando se revisan los estándares de PCI. Las normas especifican que el embalaje de las llaves utilizadas para el almacenamiento o el transporte debe ser al menos tan resistente como la clave que se está protegiendo. Aplicamos este requisito automáticamente durante la exportación y evitamos que las claves estén protegidas por claves más débiles, como se muestra en la siguiente tabla.

En la siguiente tabla se muestran las combinaciones admitidas de llaves para envolver, llaves para proteger y métodos de protección.

Llave de embalaje
Clave para proteger TDES_2KEY TDES_3KEY AES_128 AES_192 AES_256 RSA_2048 RSA_3072 RSA_4096 ECC_p256 ECC_p384 ECC_p521 Notas
TDES_2KEY TR-31 TR-31 TR-31 TR-31 TR-31 TR-34, RSA TR-34, RSA TR-34, RSA ECDH ECDH ECDH
CLAVE TDES_3 ✗ No se admite TR-31 TR-31 TR-31 TR-31 TR-34, RSA TR-34, RSA TR-34, RSA ECDH ECDH ECDH
AES_128 ✗ No compatible ✗ No se admite TR-31 TR-31 TR-31 ✗ No se admite TR-34, RSA TR-34, RSA ECDH ECDH ECDH
AES_192 ✗ No compatible ✗ No se admite ✗ No se admite TR-31 TR-31 ✗ No se admite ✗ No se admite ✗ No se admite ✗ No se admite ECDH ECDH
AES_256 ✗ No compatible ✗ No se admite ✗ No se admite ✗ No se admite TR-31 ✗ No se admite ✗ No se admite ✗ No se admite ✗ No se admite ✗ No se admite ECDH

Para obtener más información, consulte el apéndice D: Tamaños y fortalezas de clave mínimos y equivalentes para los algoritmos aprobados en las normas PCI HSM.

Intercambio de claves de cifrado (KEK)

Recomendamos utilizar el estándar X9.24 TR-34ANSI. Este tipo de clave inicial puede denominarse clave de cifrado de clave (KEK), clave maestra de zona (ZMK) o clave maestra de control de zona (ZCMK). Si sus sistemas o socios TR-34 aún no son compatibles, puede usar RSA. Wrap/Unwrap Si sus necesidades incluyen el intercambio de AES-256 claves, puede utilizar el ECDH.

nota

Para importar sus propias claves de prueba o sincronizarlas con sus HSM existentes, consulte el código de ejemplo de criptografía de AWS pagos que aparece en. GitHub

Intercambio de claves de trabajo (WK)

Utilizamos los estándares del sector (ANSI X9.24 TR 31-2018 y X9.143) para intercambiar las claves de trabajo. Para ello, es necesario que ya haya intercambiado una KEK mediante RSA Wrap TR-34, ECDH o esquemas similares. Este enfoque cumple con el requisito del PIN PCI para vincular criptográficamente el material clave según su tipo y uso en todo momento. Las claves de trabajo incluyen las claves de trabajo del adquirente, las claves de trabajo del emisor, el BDK y el IPEK.

Temas