作業キーのエクスポート

他の当事者との互換性を維持するために、 AWS Payment Cryptography はTR-31 などのキーブロックの代わりにキーバリアントを使用する AS2805 対称キーラッピング手法をサポートしています。複数のキーが当事者間で共有されている場合は、それぞれを個別にエクスポートする必要があります。データが双方向で送信される場合、各側でメッセージ認証コードを生成するために使用される ZAK (複数可) や ZAK (r) など、同じタイプの当事者間に 2 つのキーが存在する可能性があります。

これらの形式でインポートおよびエクスポートする追加のパラメータは、 コマンドで指定します。

cat >> export-zone-pin-key.json 
{
    "ExportKeyIdentifier": "arn:aws:payment-cryptography:us-east-2:111122223333:key/alsuwfxug3pgy6xh",
    "KeyMaterial": {
        "As2805KeyCryptogram": {
            "WrappingKeyIdentifier": "arn:aws:payment-cryptography:us-east-2:111122223333:key/rhfm6tenpxapkmrv",
            "As2805KeyVariant: "PIN_ENCRYPTION_KEY_VARIANT_28"
        }
    }
}

$ aws payment-cryptography-data export-key --cli-input-json file://export-zone-pin-key.json --region ap-southeast-2

{
    "WrappedKey": {
        "KeyCheckValue": "DC1081",
        "KeyCheckValueAlgorithm": "ANSI_X9_24",
        "KeyMaterial": "HDC10AEF038E695DDD72AF08DC1BB422D",
        "WrappedKeyMaterialFormat": "KEY_CRYPTOGRAM",
        "WrappingKeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/rhfm6tenpxapkmrv"
    }
}