Translate les données du code PIN - AWS Cryptographie des paiements
Code PIN de PEK à DUKPTCode PIN de PEK à PEK

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Translate les données du code PIN

Les fonctions Translate PIN data sont utilisées pour traduire les données PIN cryptées d'un jeu de clés à un autre sans que les données chiffrées ne quittent le HSM. Il est utilisé pour le chiffrement P2PE où les clés de travail doivent changer mais où le système de traitement n'a pas besoin de déchiffrer les données ou n'est pas autorisé à le faire. Les entrées principales sont les données cryptées, la clé de chiffrement utilisée pour chiffrer les données, les paramètres utilisés pour générer les valeurs d'entrée. L'autre ensemble d'entrées est constitué des paramètres de sortie demandés, tels que la clé à utiliser pour chiffrer la sortie et les paramètres utilisés pour créer cette sortie. Les principaux résultats sont un ensemble de données nouvellement crypté ainsi que les paramètres utilisés pour le générer.

Note

Pour garantir la conformité à la norme PCI, les PrimaryAccountNumber valeurs entrantes et sortantes doivent correspondre. La traduction d'un code PIN d'un PAN à un autre n'est pas autorisée.

Code PIN de PEK à DUKPT

Exemple

Dans cet exemple, nous allons convertir un code PIN d'un bloc PIN AES ISO 4 utilisant le chiffrement DUKPT en un code PEK TDES utilisant un bloc PIN ISO 0. Cela est courant lorsqu'un terminal de paiement chiffre un code PIN en ISO 4, puis il peut être retraduit en TDES pour un traitement en aval si la prochaine connexion ne prend pas encore en charge l'AES. 

$ aws payment-cryptography-data translate-pin-data --encrypted-pin-block "AC17DC148BDA645E" --outgoing-translation-attributes=IsoFormat0='{PrimaryAccountNumber=171234567890123}' --outgoing-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt  --incoming-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/4pmyquwjs3yj4vwe --incoming-translation-attributes IsoFormat4="{PrimaryAccountNumber=171234567890123}" --incoming-dukpt-attributes KeySerialNumber="FFFF9876543210E00008"  
            

    {
            "PinBlock": "1F4209C670E49F83E75CC72E81B787D9",
            "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt",
            "KeyCheckValue": "7CC9E2"
        }

Code PIN de PEK à PEK

Exemple

Dans cet exemple, nous traduisons un code PIN chiffré sous un PEK (clé de cryptage PIN) en un autre PEK. Ceci est couramment utilisé lors du routage des transactions entre différents systèmes ou partenaires utilisant des clés de chiffrement différentes, tout en maintenant la conformité au code PIN PCI en le cryptant tout au long du processus. Les deux clés utilisent le chiffrement TDES 3KEY dans cet exemple, mais diverses options sont disponibles, notamment AES ISO-4 à TDES ISO-0, DUKPT à PEK ou à PEK. AS2805 

$ aws payment-cryptography-data translate-pin-data --encrypted-pin-block "AC17DC148BDA645E" \
    --incoming-translation-attributes IsoFormat0='{PrimaryAccountNumber=171234567890123}' \
    --incoming-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt \
    --outgoing-translation-attributes IsoFormat0='{PrimaryAccountNumber=171234567890123}' \
    --outgoing-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/alsuwfxug3pgy6xh
{
    "PinBlock": "E8F2A6C4D1B93E7F",
    "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/alsuwfxug3pgy6xh",
    "KeyCheckValue": "9A325B"
}

Le bloc PIN de sortie est désormais crypté sous le deuxième PEK et peut être transmis en toute sécurité au système en aval qui détient la clé correspondante.