Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Importazione ed esportazione di chiavi
È possibile importare chiavi AWS di crittografia dei pagamenti da altre soluzioni ed esportarle in altre soluzioni, come gli HSM. Molti clienti scambiano chiavi con i fornitori di servizi utilizzando funzionalità di importazione ed esportazione. Abbiamo progettato AWS Payment Cryptography per utilizzare un approccio elettronico moderno alla gestione delle chiavi che ti aiuta a mantenere la conformità e i controlli. Consigliamo di utilizzare lo scambio di chiavi elettroniche basato su standard anziché componenti chiave cartacei. Se è necessario continuare a elaborare i componenti chiave cartacei fino a quando tutti i partner non supporteranno lo scambio di chiavi elettroniche, è possibile utilizzareScambio di chiavi fisiche.
- Punti di forza minimi dei punti di forza ed effetto sulle funzioni di importazione ed esportazione
-
PCI richiede punti di forza minimi specifici per le operazioni crittografiche, l'archiviazione e la trasmissione delle chiavi. Questi requisiti possono cambiare quando gli standard PCI vengono rivisti. Le regole specificano che l'imballaggio delle chiavi utilizzate per l'archiviazione o il trasporto deve essere almeno altrettanto resistente della chiave da proteggere. Applichiamo questo requisito automaticamente durante l'esportazione e impediamo che le chiavi vengano protette da chiavi più deboli, come illustrato nella tabella seguente.
La tabella seguente mostra le combinazioni supportate di chiavi di avvolgimento, chiavi da proteggere e metodi di protezione.
Chiave di avvolgimento Chiave per proteggere TDES_2KEY TDES_3KEY AES_128 AES_192 AES_256 RSA_2048 RSA_3072 RSA_4096 ecc_P256 ecc_P384 ecc_P521 Note CHIAVE TDES_2 TR-31 TR-31 TR-31 TR-31 TR-31 TR-34, RSA TR-34, RSA TR-34, RSA ECDH ECDH ECDH CHIAVE TDES_3 ✗ Non supportato TR-31 TR-31 TR-31 TR-31 TR-34, RSA TR-34, RSA TR-34, RSA ECDH ECDH ECDH AES_128 ✗ Non supportato ✗ Non supportato TR-31 TR-31 TR-31 ✗ Non supportato TR-34, RSA TR-34, RSA ECDH ECDH ECDH AES_192 ✗ Non supportato ✗ Non supportato ✗ Non supportato TR-31 TR-31 ✗ Non supportato ✗ Non supportato ✗ Non supportato ✗ Non supportato ECDH ECDH AES_256 ✗ Non supportato ✗ Non supportato ✗ Non supportato ✗ Non supportato TR-31 ✗ Non supportato ✗ Non supportato ✗ Non supportato ✗ Non supportato ✗ Non supportato ECDH Per ulteriori informazioni, vedere l'Appendice D - Dimensioni e punti di forza minimi ed equivalenti delle chiavi per gli algoritmi approvati
negli standard PCI HSM. - Scambio di chiavi di crittografia (KEK)
-
Si consiglia di utilizzare lo standard ANSI X9.24 TR-34. Questo tipo di chiave iniziale può essere chiamato Key Encryption Key (KEK), Zone Master Key (ZMK) o Zone Control Master Key (ZCMK). Se i tuoi sistemi o partner non lo supportano TR-34 ancora, puoi utilizzare RSA. Wrap/Unwrap Se le tue esigenze includono lo scambio di AES-256 chiavi, puoi usare ECDH.
Nota
Per importare le tue chiavi di test o sincronizzarle con gli HSM esistenti, consulta il codice di esempio di AWS Payment Cryptography su. GitHub
- Working Key (WK) Exchange
-
Utilizziamo gli standard di settore (ANSI X9.24 TR 31-2018 e X9.143) per lo scambio di chiavi di lavoro. Ciò richiede che tu abbia già scambiato una KEK utilizzando RSA Wrap TR-34, ECDH o schemi simili. Questo approccio soddisfa il requisito del PIN PCI per associare crittograficamente il materiale chiave al tipo e all'utilizzo in ogni momento. Le chiavi di lavoro includono le chiavi di lavoro dell'acquirente, le chiavi di lavoro dell'emittente, BDK e IPEK.
