View a markdown version of this page

Convalida di KEK - AWS Crittografia dei pagamenti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Convalida di KEK

Esempio di diagramma di rete di alto livello per applicazioni PIN che utilizzano la crittografia dei pagamenti AWS

Quando il servizio (node1) si connette al nodo2, ciascuna parte si assicurerà di utilizzare la stessa KEK per le operazioni successive utilizzando un processo chiamato KEK Validation.

1. Passaggi per convalidare la prima chiave

1.1 Ricevi KRs

Node2 genererà un KRs e te lo invierà come parte del processo di accesso. Possono utilizzare la crittografia dei AWS pagamenti per generare questo valore o un'altra soluzione.

1.2 Genera una risposta di convalida KEK

Il nodo genererà una risposta di convalida KEK con input come KEK (r) e KRs forniti nel passaggio 1.

Esempio
cat >> generate-kek-validation-response.json { "KekValidationType": { "KekValidationResponse": { "RandomKeySend": "9217DC67B8763BABCFDF3DADFCD0F84A" } }, "RandomKeySendVariantMask": "VARIANT_MASK_82", "KeyIdentifier": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ov6icy4ryas4zcza" }
$ aws payment-cryptography-data generate-as2805-kek-validation --cli-input-json file://generate-kek-validation-response.json
{ "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ov6icy4ryas4zcza", "KeyCheckValue": "0A3674", "RandomKeyReceive": "A4B7E249C40C98178C1B856DB7FB76EB", "RandomKeySend": "9217DC67B8763BABCFDF3DADFCD0F84A" }
1.3 Restituisce KRr calcolato

Restituisce il KrR calcolato al nodo2. Quel nodo lo confronterà con il valore calcolato dal passaggio 1.

2.Passaggi per convalidare la seconda chiave

2.1 Generare KRr e KRs

Il tuo nodo genererà un valore casuale e una copia invertita (invertita) di questo valore utilizzando la crittografia dei pagamenti. AWS Il servizio emetterà entrambi questi valori racchiusi dai KEK. Questi sono noti come KR (s) e KR (r).

Esempio
cat >> generate-kek-validation-request.json { "KekValidationType": { "KekValidationRequest": { "DeriveKeyAlgorithm": "TDES_2KEY" } }, "RandomKeySendVariantMask": "VARIANT_MASK_82", "KeyIdentifier": "arn:aws:payment-cryptography:us-east-2:111122223333:key/rhfm6tenpxapkmrv" }
$ aws payment-cryptography-data generate-as2805-kek-validation --cli-input-json file://generate-kek-validation-request.json
{ "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/rhfm6tenpxapkmrv", "KeyCheckValue": "DC1081", "RandomKeyReceive": "A4B7E249C40C98178C1B856DB7FB76EB", "RandomKeySend": "9217DC67B8763BABCFDF3DADFCD0F84A" }
2.2 Invia KRs al nodo2

Invia i KR al nodo2. Conserva il KRr per una successiva convalida.

2.3 Node2 genera una risposta di convalida KEK

Node2 utilizza KeKr e KRs, genera il KRr e lo rispedisce al servizio dell'utente.

2.4 Convalida la risposta

Confronta KrR del passaggio 1 e il valore restituito dal passaggio 3. Se corrispondono, procedi.