Création et transmission de clés de travail - AWS Cryptographie des paiements

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création et transmission de clés de travail

Les clés de travail typiques utilisées en AS28 05 incluent deux jeux de clés :

Clés entre les nœuds, telles que : clé PIN de zone (ZPK), clé de chiffrement de zone (ZEK) et clé d'authentification de zone (ZAK).

Clés entre les terminaux et les nœuds, telles que : touche principale du terminal (TMK) et touche PIN du terminal (TPK) si vous n'utilisez pas DUKPT.

Note

Nous recommandons de minimiser le nombre de clés par terminal et de tirer parti de techniques telles que le TR-34 et le DUKPT dans la mesure du possible qui utilisent un plus petit nombre de clés.

Exemple

Dans cet exemple, nous avons utilisé des balises facultatives pour suivre l'objectif et l'utilisation de cette clé. Les balises ne sont pas utilisées dans le cadre de la fonction cryptographique du système, mais peuvent être utilisées pour la catégorisation, le suivi financier et peuvent être utilisées pour appliquer des politiques IAM.

cat >> create-zone-pin-key.json 
{
    "KeyAttributes": {
        "KeyUsage": "TR31_P0_PIN_ENCRYPTION_KEY",
        "KeyClass": "SYMMETRIC_KEY",
        "KeyAlgorithm": "TDES_2KEY",
        "KeyModesOfUse": {
            "Encrypt": true,
            "Decrypt": true,
            "Wrap": true,
            "Unwrap": true,
            "Generate": false,
            "Sign": false,
            "Verify": false,
            "DeriveKey": false,
            "NoRestrictions": false
        }
    },
    "KeyCheckValueAlgorithm": "ANSI_X9_24",
    "Exportable": true,
    "Enabled": true,
    "Tags": [
        {
            "Key": "AS2805_KEYTYPE",
            "Value": "ZONE_PIN_KEY_VARIANT28"
        }
    ]
}
$ aws payment-cryptography-data create-key --cli-input-json file://create-zone-pin-key.json --region ap-southeast-2
{
 "Key": {
 "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/alsuwfxug3pgy6xh",
 "KeyAttributes": {
 "KeyUsage": "TR31_P0_PIN_ENCRYPTION_KEY",
 "KeyClass": "SYMMETRIC_KEY",
 "KeyAlgorithm": "TDES_2KEY",
 "KeyModesOfUse": {
 "Encrypt": true,
 "Decrypt": true,
 "Wrap": true,
 "Unwrap": true,
 "Generate": false,
 "Sign": false,
 "Verify": false,
 "DeriveKey": false,
 "NoRestrictions": false
 }
 },
 "KeyCheckValue": "9A325B",
 "KeyCheckValueAlgorithm": "ANSI_X9_24",
 "Enabled": true,
 "Exportable": true,
 "KeyState": "CREATE_COMPLETE",
 "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
 "CreateTimestamp": "2025-12-17T09:05:27.586000-08:00",
 "UsageStartTimestamp": "2025-12-17T09:05:27.570000-08:00"
 }
}