Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création de clés
Vous pouvez créer des clés AWS de cryptographie de paiement à l'aide de l'opération CreateKey API. Lorsque vous créez une clé, vous spécifiez des attributs tels que l'algorithme de clé, l'utilisation de la clé, les opérations autorisées et si elle est exportable. Vous ne pouvez pas modifier ces propriétés après avoir créé la clé AWS de chiffrement des paiements.
Note
Si la réplication de clé multirégionale est activée pour vous Compte AWS et que vous créez une clé de cryptographie de paiement, cette clé deviendra automatiquement une clé de région primaire (PRK). Le PRK est répliqué même si vous ne spécifiez pas le --replication-regions paramètre dans la CreateKey commande. Pour de plus amples informations, veuillez consulter Comment fonctionne la réplication de clés multirégionale.
Exemples
Création d'une clé de dérivation de base 3KEY TDES
Exemple
Cette commande crée une clé de dérivation TDES à 3 touches qui sera répliquée dans les régions USA Est (Ohio) et USA Ouest (Oregon). La réponse inclut les paramètres de demande, un Amazon Resource Name (ARN) pour les appels suivants et une valeur de vérification clé (KCV).
$aws payment-cryptography create-key --exportable --key-attributes \ "KeyUsage=TR31_B0_BASE_DERIVATION_KEY, \ KeyClass=SYMMETRIC_KEY,KeyAlgorithm=TDES_3KEY, \ KeyModesOfUse={NoRestrictions=true}" \ --replication-regions us-east-2 --region us-west-2
Exemple de sortie :
{ "Key": { "CreateTimestamp": "2022-10-26T16:04:11.642000-07:00", "Enabled": true, "Exportable": true, "KeyArn": "FE23D3", "KeyAttributes": { "KeyAlgorithm": "TDES_3KEY", "KeyClass": "SYMMETRIC_KEY", "KeyModesOfUse": { "Decrypt": false, "DeriveKey": true, "Encrypt": false, "Generate": false, "NoRestrictions": false, "Sign": false, "Unwrap": false, "Verify": true, "Wrap": false }, "KeyUsage": "TR31_B0_BASE_DERIVATION_KEY" }, "KeyCheckValue": "FE23D3", "KeyCheckValueAlgorithm": "ANSI_X9_24", "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY", "KeyState": "CREATE_COMPLETE", "UsageStartTimestamp": "2022-10-26T16:04:11.559000-07:00" }
Création d'une clé TDES 2KEY pour CVV/ CVV2
Exemple
Cette commande crée une clé TDES 2KEY pour générer et vérifier les valeurs CVV2 CVV/. La réponse inclut les paramètres de la demande, un Amazon Resource Name (ARN) pour les appels suivants et une Key Check Value (KCV).
$aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=TDES_2KEY, \ KeyUsage=TR31_C0_CARD_VERIFICATION_KEY,KeyClass=SYMMETRIC_KEY, \ KeyModesOfUse='{Generate=true,Verify=true}'
Exemple de sortie :
{ "Key": { "CreateTimestamp": "2022-10-26T16:04:11.642000-07:00", "Enabled": true, "Exportable": true, "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/7f7g4spf3xcklhzu", "KeyAttributes": { "KeyAlgorithm": "TDES_2KEY", "KeyClass": "SYMMETRIC_KEY", "KeyModesOfUse": { "Decrypt": false, "DeriveKey": false, "Encrypt": false, "Generate": true, "NoRestrictions": false, "Sign": false, "Unwrap": false, "Verify": true, "Wrap": false }, "KeyUsage": "TR31_C0_CARD_VERIFICATION_KEY" }, "KeyCheckValue": "AEA5CD", "KeyCheckValueAlgorithm": "ANSI_X9_24", "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY", "KeyState": "CREATE_COMPLETE", "UsageStartTimestamp": "2022-10-26T16:04:11.559000-07:00" } }
Création d'une clé HMAC
Exemple
Les clés HMAC sont utilisées pour générer ou vérifier les codes d'authentification par message de hachage (HMAC). Avec les clés HMAC, le type de hachage est attribué au moment de la création de la clé (comme HMAC_ SHA224 et HMAC_) et ne peut pas être modifiéSHA512.
$aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=HMAC_SHA512,KeyUsage=TR31_M7_HMAC_KEY,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Generate = true,Verify = true}'
Exemple de sortie :
{ "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/qnobl5lghrzunce6", "KeyAttributes": { "KeyUsage": "TR31_M7_HMAC_KEY", "KeyClass": "SYMMETRIC_KEY", "KeyAlgorithm": "HMAC_SHA512", "KeyModesOfUse": { "Encrypt": false, "Decrypt": false, "Wrap": false, "Unwrap": false, "Generate": true, "Sign": false, "Verify": true, "DeriveKey": false, "NoRestrictions": false } }, "KeyCheckValue": "2976E7", "KeyCheckValueAlgorithm": "HMAC", "Enabled": true, "Exportable": true, "KeyState": "CREATE_COMPLETE", "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY", "CreateTimestamp": "2025-07-30T10:06:12.142000-07:00", "UsageStartTimestamp": "2025-07-30T10:06:12.128000-07:00" } }
Création d'une clé AES-256
Exemple
Cette commande crée une clé symétrique AES-256 pour le chiffrement et le déchiffrement des données. Les clés AES fournissent un cryptage puissant pour les données sensibles et sont couramment utilisées dans le traitement des paiements pour crypter les données des titulaires de cartes et d'autres informations sensibles, mais le TDES est plus couramment utilisé pour les cas d'utilisation par les émetteurs tels que l'EMV.
$aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=AES_256,KeyUsage=TR31_D0_SYMMETRIC_DATA_ENCRYPTION_KEY,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Encrypt=true,Decrypt=true,Wrap=true,Unwrap=true}'
Exemple de sortie :
{ "Key": { "CreateTimestamp": "2025-02-02T10:15:30.142000-08:00", "Enabled": true, "Exportable": true, "KeyArn": "arn:aws:payment-cryptography:us-east-1:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyAlgorithm": "AES_256", "KeyClass": "SYMMETRIC_KEY", "KeyModesOfUse": { "Decrypt": true, "DeriveKey": false, "Encrypt": true, "Generate": false, "NoRestrictions": false, "Sign": false, "Unwrap": true, "Verify": false, "Wrap": true }, "KeyUsage": "TR31_D0_SYMMETRIC_DATA_ENCRYPTION_KEY" }, "KeyCheckValue": "2976F5", "KeyCheckValueAlgorithm": "CMAC", "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY", "KeyState": "CREATE_COMPLETE", "UsageStartTimestamp": "2025-02-02T10:15:30.128000-08:00" } }
Création d'une clé de chiffrement par code PIN (PEK)
Exemple
Cette commande crée une clé TDES à 3 touches pour chiffrer les valeurs PIN, bien que les clés PIN puissent également être AES en fonction de vos besoins d'interopérabilité. Vous pouvez utiliser cette clé pour stocker PINs ou déchiffrer en toute sécurité PINs lors de la vérification, par exemple lors d'une transaction. La réponse inclut les paramètres de demande, un ARN pour les appels suivants et un KCV.
$aws payment-cryptography create-key --exportable --key-attributes \ KeyAlgorithm=TDES_3KEY,KeyUsage=TR31_P0_PIN_ENCRYPTION_KEY, \ KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Encrypt=true,Decrypt=true,Wrap=true,Unwrap=true}'
Exemple de sortie :
{ "Key": { "CreateTimestamp": "2022-10-27T08:27:51.795000-07:00", "Enabled": true, "Exportable": true, "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt", "KeyAttributes": { "KeyAlgorithm": "TDES_3KEY", "KeyClass": "SYMMETRIC_KEY", "KeyModesOfUse": { "Decrypt": true, "DeriveKey": false, "Encrypt": true, "Generate": false, "NoRestrictions": false, "Sign": false, "Unwrap": true, "Verify": false, "Wrap": true }, "KeyUsage": "TR31_P0_PIN_ENCRYPTION_KEY" }, "KeyCheckValue": "7CC9E2", "KeyCheckValueAlgorithm": "ANSI_X9_24", "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY", "KeyState": "CREATE_COMPLETE", "UsageStartTimestamp": "2022-10-27T08:27:51.753000-07:00" } }
Création d'une clé asymétrique (RSA)
Exemple
Cette commande génère une nouvelle paire de clés asymétriques RSA 2048 bits. Il crée une nouvelle clé privée et la clé publique correspondante. Vous pouvez récupérer la clé publique à l'aide de l'getPublicCertificateAPI.
$aws payment-cryptography create-key --exportable \ --key-attributes KeyAlgorithm=RSA_2048,KeyUsage=TR31_D1_ASYMMETRIC_KEY_FOR_DATA_ENCRYPTION, \ KeyClass=ASYMMETRIC_KEY_PAIR,KeyModesOfUse='{Encrypt=true, Decrypt=True,Wrap=True,Unwrap=True}'
Exemple de sortie :
{ "Key": { "CreateTimestamp": "2022-11-15T11:15:42.358000-08:00", "Enabled": true, "Exportable": true, "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/nsq2i3mbg6sn775f", "KeyAttributes": { "KeyAlgorithm": "RSA_2048", "KeyClass": "ASYMMETRIC_KEY_PAIR", "KeyModesOfUse": { "Decrypt": true, "DeriveKey": false, "Encrypt": true, "Generate": false, "NoRestrictions": false, "Sign": false, "Unwrap": true, "Verify": false, "Wrap": true }, "KeyUsage": "TR31_D1_ASYMMETRIC_KEY_FOR_DATA_ENCRYPTION" }, "KeyCheckValue": "40AD487F", "KeyCheckValueAlgorithm": "SHA-1", "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY", "KeyState": "CREATE_COMPLETE", "UsageStartTimestamp": "2022-11-15T11:15:42.182000-08:00" } }
Création d'une clé de vérification par code PIN (PVV)
Exemple
Cette commande crée une clé TDES 3KEY pour générer des valeurs PVV. Vous pouvez utiliser cette clé pour générer un PVV qui peut être comparé à un PVV calculé ultérieurement. La réponse inclut les paramètres de demande, un ARN pour les appels suivants et un KCV.
$aws payment-cryptography create-key --exportable \ --key-attributes KeyAlgorithm=TDES_3KEY,KeyUsage=TR31_V2_VISA_PIN_VERIFICATION_KEY, \ KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Generate=true,Verify=true}'
Exemple de sortie :
{ "Key": { "CreateTimestamp": "2022-10-27T10:22:59.668000-07:00", "Enabled": true, "Exportable": true, "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/37y2tsl45p5zjbh2", "KeyAttributes": { "KeyAlgorithm": "TDES_3KEY", "KeyClass": "SYMMETRIC_KEY", "KeyModesOfUse": { "Decrypt": false, "DeriveKey": false, "Encrypt": false, "Generate": true, "NoRestrictions": false, "Sign": false, "Unwrap": false, "Verify": true, "Wrap": false }, "KeyUsage": "TR31_V2_VISA_PIN_VERIFICATION_KEY" }, "KeyCheckValue": "7F2363", "KeyCheckValueAlgorithm": "ANSI_X9_24", "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY", "KeyState": "CREATE_COMPLETE", "UsageStartTimestamp": "2022-10-27T10:22:59.614000-07:00" } }
Création d'une clé ECC asymétrique
Exemple
Cette commande génère une paire de clés ECC pour établir un accord de clé ECDH (Elliptic Curve Diffie-Hellman) entre deux parties. Avec l'ECDH, chaque partie génère sa propre paire de clés ECC avec l'objectif K3 et le mode d'utilisation X, et ils échangent des clés publiques. Les deux parties utilisent ensuite leur clé privée et la clé publique reçue pour établir une clé dérivée partagée.
Pour maintenir le principe d'usage unique des clés cryptographiques dans les paiements, nous recommandons de ne pas réutiliser les paires de clés ECC à des fins multiples, telles que la dérivation et la signature de clés ECDH.
$aws payment-cryptography create-key --exportable \ --key-attributes KeyAlgorithm=ECC_NIST_P256,KeyUsage=TR31_K3_ASYMMETRIC_KEY_FOR_KEY_AGREEMENT, \ KeyClass=ASYMMETRIC_KEY_PAIR,KeyModesOfUse='{DeriveKey=true}'
Exemple de sortie :
{ "Key": { "CreateTimestamp": "2024-10-17T01:31:55.908000+00:00", "Enabled": true, "Exportable": true, "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/wc3rjsssguhxtilv", "KeyAttributes": { "KeyAlgorithm": "ECC_NIST_P256", "KeyClass": "ASYMMETRIC_KEY_PAIR", "KeyModesOfUse": { "Decrypt": false, "DeriveKey": true, "Encrypt": false, "Generate": false, "NoRestrictions": false, "Sign": false, "Unwrap": false, "Verify": false, "Wrap": false }, "KeyUsage": "TR31_K3_ASYMMETRIC_KEY_FOR_KEY_AGREEMENT" }, "KeyCheckValue": "7E34F19F", "KeyCheckValueAlgorithm": "SHA-1", "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY", "KeyState": "CREATE_COMPLETE", "UsageStartTimestamp": "2024-10-17T01:31:55.866000+00:00" } }
