View a markdown version of this page

Scambio di chiavi fisiche - AWS Crittografia dei pagamenti
Come funziona Physical Key ExchangeConformità e sicurezza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scambio di chiavi fisiche

È possibile utilizzare Physical Key Exchange per convertire in modo sicuro i componenti chiave crittografici cartacei in formato elettronico quando i partner o i fornitori non supportano lo scambio di chiavi elettroniche. I custodi AWS delle chiavi addestrati eseguono le cerimonie chiave in AWS-operated strutture sicure certificate PCI PIN e P2PE, convertendo i componenti chiave cartacei in formato elettronico utilizzando un HSM offline. Il servizio utilizza lo scambio di chiavi per fornire un blocco ECDH-based ECDH-wrapped TR-31 chiave, che viene importato direttamente nel proprio account Payment Cryptography. AWS

Nota

Ti consigliamo di utilizzare un sistema basato su standard ogni volta che è possibileImportazione ed esportazione di chiavi. Utilizza Physical Key Exchange solo quando i tuoi partner o fornitori non supportano metodi di scambio di chiavi elettroniche come ANSI X9.24 TR-34, RSA o ECDH. wrap/unwrap

Come funziona Physical Key Exchange

Per avviare lo scambio di chiavi cartacee, un CloudFormation modello ti guida attraverso la configurazione dei prerequisiti, inclusa la creazione di una coppia di chiavi ECC e di un bucket S3 nel tuo account. Tu o il tuo partner spedite quindi i componenti chiave cartacei alla struttura AWS sicura, dove custodi delle AWS chiavi addestrati eseguono la cerimonia delle chiavi utilizzando un HSM offline. L'output è un blocco ECDH-wrapped TR-31 chiave caricato nel tuo bucket S3, che importi nel tuo account utilizzando questo metodo. Importazione delle chiavi utilizzando tecniche asimmetriche (ECDH) Physical Key Exchange supporta l'importazione di chiavi KEK (utilizzo chiave K1) o BDK (utilizzo chiave B0) in entrambi gli algoritmi di chiave TDES e AES.

Il diagramma seguente mostra il processo completo di scambio di chiavi fisiche.

Flusso del processo di scambio di chiavi fisiche

  1. Avvio: invii un ticket di assistenza o collabori con il tuo account manager per inviare una richiesta.

  2. Configurazione del cliente: AWS Payment Cryptography fornisce un CloudFormation modello per completare i seguenti passaggi preliminari:

    • Crea una coppia di chiavi ECC P521 all'interno del tuo account AWS Payment Cryptography e recupera il certificato di chiave pubblica.

    • Crea un bucket Amazon S3 con una policy che garantisca l'accesso principale al servizio AWS Payment Cryptography. read/write

    • Archivia il certificato pubblico ECC e la CA root di firma nel bucket Amazon S3.

    • Fornisci gli attributi chiave: utilizzo delle chiavi, modalità di utilizzo principali e numero di componenti chiave cartacei da inviare.

  3. Condividi il nome del bucket S3: il cliente condivide il nome del bucket S3 creato dallo CloudFormation stack, in cui vengono archiviati il certificato a chiave pubblica, la catena di certificati e gli attributi chiave per AWS Payment Cryptography per avviare lo scambio di chiavi.

  4. Coordinamento della spedizione: AWS Payment Cryptography fornisce i dettagli di spedizione per la struttura sicura. US-based Tu o il tuo partner spedite i componenti chiave cartacei ai custodi delle AWS chiavi.

  5. Ricezione dei componenti: i custodi AWS chiave ricevono ogni componente cartaceo e inviano una conferma separata per ogni componente.

  6. Cerimonia delle chiavi: i custodi AWS delle chiavi eseguono la cerimonia delle chiavi utilizzando un HSM offline. Il blocco TR-31 chiave risultante, racchiuso utilizzando una ECDH-derived AES-256 chiave, il certificato pubblico ECC dell'HSM offline e il relativo certificato di firma vengono caricati nel bucket Amazon S3.

  7. Completamento: AWS Payment Cryptography invia una conferma che la cerimonia delle chiavi è completa. Puoi quindi importare il blocco di TR-31 chiavi racchiuso in ECDH nel tuo account AWS Payment Cryptography utilizzando il metodo. Importazione delle chiavi utilizzando tecniche asimmetriche (ECDH)

  8. Fatturazione: una volta completata con successo la cerimonia di consegna delle chiavi, ti verrà addebitata la tariffa per ogni chiave scambiata.

Conformità e sicurezza

Physical Key Exchange opera in strutture AWS sicure progettate per soddisfare i requisiti di sicurezza fisica e logica PCI PIN e PCI P2PE. Sono presenti i seguenti controlli:

Duplice controllo e separazione delle mansioni

AWS i custodi principali sono assegnati da team diversi con strutture di rendicontazione separate. Sono in atto processi per garantire che le fasi principali delle cerimonie si svolgano sotto duplice controllo.

HSM offline

Le cerimonie chiave vengono eseguite utilizzando moduli di sicurezza HSM-listed hardware certificati PCI PTS che funzionano offline senza connettività di rete. La tua chiave non esiste mai in chiaro al di fuori del confine HSM.

Consegna di chiavi crittografiche

Il materiale chiave viene trasferito dall'HSM offline all'account AWS Payment Cryptography utilizzando lo scambio di ECDH-based chiavi, garantendo una protezione crittografica end-to-end.

Audit e conformità

AWS dispone di processi per soddisfare i requisiti di conformità applicabili, che vengono valutati periodicamente per gli attestati PCI PIN e P2PE. Consulta il pacchetto di conformità in AWS Artifact per i report a cui fai riferimento nelle tue valutazioni PCI.