View a markdown version of this page

Validation du KEK - AWS Cryptographie des paiements

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Validation du KEK

Exemple de schéma de réseau de haut niveau pour une application PIN utilisant la cryptographie des AWS paiements

Lorsque votre service (node1) se connecte au nœud 2, chaque partie s'assure qu'elle utilise le même KEK pour les opérations suivantes à l'aide d'un processus appelé validation KEK.

1. Étapes pour valider la première clé

1.1 Recevoir des KRs

Node2 générera un KRs et vous l'enverra dans le cadre du processus de connexion. Ils peuvent utiliser la cryptographie des AWS paiements pour générer cette valeur ou une autre solution.

1.2 Générer une réponse de validation KEK

Votre nœud générera une réponse de validation KEK avec des entrées telles que le KEK (r) et les KR fournis à l'étape 1.

Exemple
cat >> generate-kek-validation-response.json { "KekValidationType": { "KekValidationResponse": { "RandomKeySend": "9217DC67B8763BABCFDF3DADFCD0F84A" } }, "RandomKeySendVariantMask": "VARIANT_MASK_82", "KeyIdentifier": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ov6icy4ryas4zcza" }
$ aws payment-cryptography-data generate-as2805-kek-validation --cli-input-json file://generate-kek-validation-response.json
{ "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ov6icy4ryas4zcza", "KeyCheckValue": "0A3674", "RandomKeyReceive": "A4B7E249C40C98178C1B856DB7FB76EB", "RandomKeySend": "9217DC67B8763BABCFDF3DADFCD0F84A" }
1.3 Rendement calculé KrR

Renvoie le KrR calculé à node2. Ce nœud la comparera à la valeur calculée à l'étape 1.

2. Étapes pour valider la deuxième clé

2.1 Générer des KrR et des KRs

Votre nœud générera une valeur aléatoire et une copie inversée (inversée) de cette valeur à l'aide de la cryptographie des AWS paiements. Le service produira ces deux valeurs encapsulées par le ou les KEK. Ils sont appelés KR (s) et KR (r).

Exemple
cat >> generate-kek-validation-request.json { "KekValidationType": { "KekValidationRequest": { "DeriveKeyAlgorithm": "TDES_2KEY" } }, "RandomKeySendVariantMask": "VARIANT_MASK_82", "KeyIdentifier": "arn:aws:payment-cryptography:us-east-2:111122223333:key/rhfm6tenpxapkmrv" }
$ aws payment-cryptography-data generate-as2805-kek-validation --cli-input-json file://generate-kek-validation-request.json
{ "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/rhfm6tenpxapkmrv", "KeyCheckValue": "DC1081", "RandomKeyReceive": "A4B7E249C40C98178C1B856DB7FB76EB", "RandomKeySend": "9217DC67B8763BABCFDF3DADFCD0F84A" }
2.2 Envoyer des KRs au nœud 2

Envoyez les KR au nœud 2. Conservez le KrR pour une validation ultérieure.

2.3 Node2 génère une réponse de validation KEK

Node2 utilise le KeKR et le KRs, génère le KrR et le renvoie à votre service.

2.4 Valider la réponse

Comparez le KrR obtenu à l'étape 1 et la valeur renvoyée à l'étape 3. S'ils correspondent, continuez.