KEK 검증

1: 첫 번째 키를 검증하는 단계

1.1 KRs 수신

Node2는 KRs을 생성하여 로그온 프로세스의 일부로 사용자에게 전송합니다. AWS Payment Cryptography를 사용하여이 값 또는 다른 솔루션을 생성할 수 있습니다.

1.2 KEK 검증 응답 생성

노드는 입력이 1단계에서 제공된 KEK(r) 및 KRs인 KEK 검증 응답을 생성합니다.

예

cat >> generate-kek-validation-response.json
{
    "KekValidationType": {
        "KekValidationResponse": {
            "RandomKeySend": "9217DC67B8763BABCFDF3DADFCD0F84A"
        }
    },
    "RandomKeySendVariantMask": "VARIANT_MASK_82",
    "KeyIdentifier": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ov6icy4ryas4zcza"
}

$ aws payment-cryptography-data generate-as2805-kek-validation --cli-input-json file://generate-kek-validation-response.json

{
 "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ov6icy4ryas4zcza",
 "KeyCheckValue": "0A3674",
 "RandomKeyReceive": "A4B7E249C40C98178C1B856DB7FB76EB",
 "RandomKeySend": "9217DC67B8763BABCFDF3DADFCD0F84A"
}

1.3 계산된 KRr 반환

계산된 KRr을 node2로 반환합니다. 이 노드는 이를 1단계에서 계산된 값과 비교합니다.

2. 두 번째 키를 검증하는 단계

2.1 KRr 및 KRs 생성

노드는 AWS Payment Cryptography를 사용하여 무작위 값과이 값의 반전(역방향) 복사본을 생성합니다. 서비스는 KEK(들)로 래핑된 이러한 두 값을 모두 출력합니다. 이를 KR(s) 및 KR(r)이라고 합니다.

예

cat >> generate-kek-validation-request.json 
{
    "KekValidationType": {
        "KekValidationRequest": {
            "DeriveKeyAlgorithm": "TDES_2KEY"
        }
    },
"RandomKeySendVariantMask": "VARIANT_MASK_82",
    "KeyIdentifier": "arn:aws:payment-cryptography:us-east-2:111122223333:key/rhfm6tenpxapkmrv"
}

$ aws payment-cryptography-data generate-as2805-kek-validation --cli-input-json file://generate-kek-validation-request.json

{
 "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/rhfm6tenpxapkmrv",
 "KeyCheckValue": "DC1081",
 "RandomKeyReceive": "A4B7E249C40C98178C1B856DB7FB76EB",
 "RandomKeySend": "9217DC67B8763BABCFDF3DADFCD0F84A"
}

2.2 KRs node2로 전송

KRs node2로 전송합니다. 이후 검증을 위해 KRr을 유지합니다.

2.3 Node2에서 KEK 검증 응답 생성

Node2는 KEKr 및 KRs 사용하고 KRr을 생성하여 서비스로 다시 보냅니다.

2.4 응답 검증

1단계의 KRr과 3단계에서 반환된 값을 비교합니다. 일치하는 경우 계속 진행합니다.