기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS Payment Cryptography란 무엇입니까?
AWS Payment Cryptography는 전용 결제 HSM 인스턴스를 조달할 필요 없이 결제 카드 산업(PCI) 표준에 따라 결제 처리에 사용되는 암호화 함수 및 키 관리에 대한 액세스를 제공하는 관리형 AWS 서비스입니다. AWS Payment Cryptography는 인수자와 같은 결제 기능을 수행하는 고객에게 결제 진행자 네트워크, 스위치, 프로세서, 및 은행은 결제 암호화 작업을 클라우드의 애플리케이션에 더 가깝게 이동하고 전용 결제 HSMs.
이 서비스는 PCI PIN, PCI P2PE 및 PCI DSS를 포함한 해당 업계 규칙을 준수하도록 설계되었으며, 이 서비스에서 활용하는 하드웨어는 [PCI PTS HSM V3 및 FIPS 140-2 레벨 3 인증](cryptographic-details-internalops.md)을 받았습니다. 짧은 지연 시간과 [높은 수준의 가동 시간 및 복원력을](https://aws.amazon.com/payment-cryptography/sla/?did=sla_card&trk=sla_card) 지원하도록 설계되었습니다. AWS Payment Cryptography는 완전히 탄력적이며 하드웨어 프로비저닝, 키 구성 요소 보안 관리, 보안 시설에 긴급 백업 유지 관리 등 온프레미스 HSMs의 많은 운영 요구 사항을 제거합니다. AWS 또한 Payment Cryptography는 파트너와 전자적으로 키를 공유할 수 있는 옵션을 제공하므로 종이로 된 일반 텍스트 구성 요소를 공유할 필요가 없습니다.
[AWS Payment Cryptography 컨트롤 플레인 API](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/Welcome.html)를 사용하여 키를 생성하고 관리할 수 있습니다.
[AWS Payment Cryptography 데이터 영역 API](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/Welcome.html)를 사용하여 결제 관련 트랜잭션 처리 및 관련 암호화 작업에 암호화 키를 사용할 수 있습니다.
AWS Payment Cryptography는 키를 관리하는 데 사용할 수 있는 중요한 기능을 제공합니다.
+ TDES, AES 및 RSA 키를 포함한 대칭 및 비대칭 AWS Payment Cryptography 키를 생성 및 관리하고 CVV 생성 또는 DUKPT 키 추출과 같은 의도한 목적을 지정합니다.
+ AWS Payment Cryptography 키를 하드웨어 보안 모듈(HSMs)로 보호하면서 사용 사례 간에 키 분리를 적용하면서 자동으로 안전하게 저장합니다.
+ AWS Payment Cryptography 키에 액세스하거나 액세스를 제어하는 데 사용할 수 있는 “표시된 이름”인 별칭을 생성, 삭제, 나열 및 업데이트합니다.
+ 식별, 그룹화, 자동화, 액세스 제어 및 비용 추적을 위해 AWS Payment Cryptography 키에 태그를 지정합니다.
+ TR-31(상호 운용 가능한 보안 키 교환 키 블록 사양)에 따라 키 암호화 키(KEK)를 사용하여 AWS Payment Cryptography와 HSM(또는 타사) 간에 대칭 키를 가져오고 내보냅니다.
+ TR-34(비대칭 기법을 사용한 대칭 키 배포 방법)와 같은 전자적 수단을 사용하여 다음에 비대칭 키 페어를 사용하여 AWS Payment Cryptography와 기타 시스템 간에 대칭 키 암호화 키(KEK)를 가져오고 내보냅니다.
Payment AWS Cryptography 키를 다음과 같은 암호화 작업에 사용할 수 있습니다.
+ 대칭 또는 비대칭 AWS Payment Cryptography 키를 사용하여 데이터를 암호화, 복호화 및 다시 암호화합니다.
+ PCI PIN 규칙에 따라 일반 텍스트를 노출하지 않고 암호화 키 간에 민감한 데이터(예: 카드 소유자 핀)를 안전하게 변환합니다.
+ CVV, CVV2 또는 ARQC와 같은 카드 소유자 데이터를 생성하거나 검증합니다.
+ 카드 소유자 핀을 생성하고 검증합니다.
+ MAC 서명을 생성하거나 검증합니다.
# 개념
AWS Payment Cryptography에 사용되는 기본 용어 및 개념과 이를 사용하여 데이터를 보호하는 방법을 알아봅니다.
**별칭**
AWS Payment Cryptography 키와 연결된 사용자 친화적 이름입니다. 별칭은 많은 AWS Payment Cryptography API 작업에서 [키 ARN](#concepts.key-arn)과 상호 교환적으로 사용할 수 있습니다. 별칭을 사용하면 애플리케이션 코드에 영향을 주지 않고 키를 교체하거나 변경할 수 있습니다. 별칭 이름은 최대 256자의 문자열입니다. 계정 및 리전 내에서 연결된 AWS Payment Cryptography 키를 고유하게 식별합니다. AWS Payment Cryptography에서 별칭 이름은 항상 로 시작합니다`alias/`.
별칭 이름의 형식은 다음과 같습니다.
```
alias/
```
예시:
```
alias/sampleAlias2
```
**키 ARN**
키 ARN은 AWS Payment Cryptography에 있는 키 항목의 Amazon 리소스 이름(ARN)입니다. Payment AWS Cryptography 키의 고유하고 정규화된 식별자입니다. 키 ARN에는 AWS 계정, 리전 및 무작위로 생성된 ID가 포함됩니다. ARN은 키 구성 요소와 관련되거나 파생되지 않습니다. 생성 또는 가져오기 작업 중에 자동으로 할당되기 때문에 이러한 값은 멱등성이 없습니다. 동일한 키를 여러 번 가져오면 고유한 수명 주기를 가진 키 ARN이 여러 개 생성됩니다.
키 ARN의 형식은 다음과 같습니다.
```
arn::payment-cryptography:::alias/
```
다음은 키 ARN 샘플입니다.
```
arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
```
**키 식별자**
키 식별자는 키에 대한 참조이며이 중 하나(또는 그 이상)는 AWS Payment Cryptography 작업에 대한 일반적인 입력입니다. 유효한 키 식별자는 [키 Arn](#concepts.key-arn) a [Key 별칭일 수 있습니다](#concepts.alias).
**AWS Payment Cryptography 키**
AWS Payment Cryptography 키(키)는 모든 암호화 함수에 사용됩니다. 키는 create key 명령을 사용하여 직접 생성하거나 키 가져오기를 호출하여 시스템에 추가할 수 있습니다. 키의 오리진은 KeyOrigin 속성을 검토하여 확인할 수 있습니다. AWS Payment Cryptography는 DUKPT에서 사용하는 키와 같이 암호화 작업 중에 사용되는 파생 키 또는 중간 키도 지원합니다.
이러한 키는 생성 시 정의된 변경 불가 속성과 변경 가능 속성을 모두 가지고 있습니다. 알고리즘, 길이, 사용 등의 속성은 생성 시 정의되며 변경할 수 없습니다. 발효일 또는 만료일과 같은 기타 항목은 수정할 수 있습니다. [AWS Payment Cryptography 키 속성의 전체 목록은 Payment Cryptography API 참조](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/)를 참조하세요. AWS
AWS Payment Cryptography 키에는 주로 [ANSI X9 TR 31](terminology.md#terms.tr31)에 의해 정의된 키 유형이 있으며, 이는 PCI PIN v3.1 요구 사항 19에 지정된 대로 의도한 용도로 사용을 제한합니다.
속성은 PCI PIN v3.1 요구 사항 18-3에 지정된 대로 저장하거나, 다른 계정과 공유하거나, 내보낼 때 키 블록을 사용하여 키에 바인딩됩니다.
키는 키 Amazon 리소스 이름()이라고 하는 고유한 값을 사용하여 AWS Payment Cryptography 플랫폼에서 식별됩니다`ARN`.
키`ARN`는 키를 처음 생성하거나 AWS Payment Cryptography 서비스로 가져올 때 생성됩니다. 따라서 키 가져오기 기능을 사용하여 동일한 키 자료를 여러 번 추가하면 동일한 키 구성 요소가 여러 개의 키 `ARNS` 아래에 위치하지만 각각의 수명 주기는 다릅니다.
# 업계 용어
**Topics**
+ [공통 키 유형](#key-types)
+ [기타 용어](#other-terms)
## 공통 키 유형
AWS Payment Cryptography 키
AWS Payment Cryptography 키는 단일에 있습니다 AWS 리전. Payment AWS Cryptography Service에 저장된 주요 메타데이터와 자료로 구성됩니다. 키는 외부 소스에서 TR-31 키 블록으로 가져오거나 AWS Payment Cryptography Service에서 생성할 수 있습니다.
**AWK**
취득자 작업 키(AWK)는 일반적으로 취득자/취득자 프로세서와 네트워크(예: Visa 또는 Mastercard) 간에 데이터를 교환하는 데 사용되는 키입니다. 지금까지 AWK는 암호화에 3DES를 활용하고 이를 TR31\$1P0\$1PIN\$1ENCRYPTION\$1KEY로 표현했습니다.
**BDK**
기본 파생 키(BDK)는 후속 키를 도출하는 데 사용되는 작업 키이며 일반적으로 PCI PIN 및 PCI P2PE DUKPT 프로세스의 일부로 사용됩니다. *TR31\$1B0\$1BASE\$1DRIVATIVATION\$1KEY*로 표시됩니다.
**CMK**
카드 마스터 키(CMK)는 일반적으로 [발급자 마스터 키](#terms.imk), *PAN* 및 *PSN*에서 파생된 하나 이상의 카드별 키(들)이며 일반적으로 *3DES* 키입니다. 이러한 키는 개인화 과정에서 EMV 칩에 저장됩니다. CMK의 예로는 AC, SMI 및 SMC 키가 있습니다.
**CMK-AC**
애플리케이션 암호(AC) 키는 EMV 트랜잭션의 일부로 트랜잭션 암호를 생성하는 데 사용되며 일종의 [카드 마스터 키](#terms.cmk)입니다.
**CMK-SMI**
보안 메시징 무결성(SMI) 키는 EMV의 일부로 사용되어 핀 업데이트 스크립트와 같은 MAC을 사용하여 카드로 전송되는 페이로드의 무결성을 확인합니다. 일종의 [카드 마스터 키](#terms.cmk)입니다.
**CMK-SMC**
보안 메시징 기밀성(SMC) 키는 EMV의 일부로 핀 업데이트와 같이 카드로 전송되는 데이터를 암호화하는 데 사용됩니다. 일종의 [카드 마스터 키](#terms.cmk)입니다.
**CVK**
카드 검증 키(CVK)는 정의된 알고리즘을 사용하여 CVV, CVV2 및 유사한 값을 생성하고 입력을 검증하는 데 사용되는 키입니다. *TR31\$1C0\$1CARD\$1VERIFICATION\$1KEY*로 표시됩니다.
**IMK**
발급자 마스터 키(IMK) 는 EMV 칩 카드 개인화의 일부로 사용되는 마스터 키입니다. 일반적으로 3개의 IMK가 있으며, 각각 AC(암호문), SMI(무결성/서명을 위한 스크립트 마스터 키), SMC(기밀성/암호화를 위한 스크립트 마스터 키) 키에 하나씩 사용됩니다.
**IK**
초기 키(IK)는 DUKPT 프로세스에 사용되는 첫 번째 키이며 기본 파생 키([BDK](#terms.bdk))에서 파생됩니다. 이 키에 대한 트랜잭션은 처리되지 않지만 트랜잭션에 사용될 미래 키를 도출하는 데 사용됩니다. IK를 생성하기 위한 파생 방법은 X9.24-1:2017에 정의되었습니다. TDES BDK를 사용하는 경우 X9.24-1:2009가 적용 가능한 표준이며 IK는 초기 핀 암호화 키(IPEK)로 대체됩니다.
**IPEK**
초기 PIN 암호화 키(IPEK)는 DUKPT 프로세스에 사용되는 초기 키이며 기본 파생 키([BDK](#terms.bdk))에서 파생됩니다. 이 키에 대한 트랜잭션은 처리되지 않지만 트랜잭션에 사용될 미래 키를 도출하는 데 사용됩니다. 이 키는 데이터 암호화 및 mac 키를 도출하는 데에도 사용할 수 있으므로 IPEK는 잘못된 것입니다. IPEK를 생성하기 위한 파생 방법은 X9.24-1:2009에 정의되었습니다. AES BDK를 사용하는 경우 X9.24-1:2017이 적용 가능한 표준이며 IPEK는 초기 키([IK](#terms.initialkey))로 대체됩니다.
**IWK**
발급자 작업 키(IWK)는 일반적으로 발급자/발급자 프로세서와 네트워크(예: Visa 또는 Mastercard) 간에 데이터를 교환하는 데 사용되는 키입니다. 지금까지 IWK는 암호화에 3DES를 활용하고 *TR31\$1P0\$1PIN\$1ENCRYPTION\$1KEY*로 표시했습니다.
**KBPK**
키 블록 암호화 키(KBPK)는 키 블록을 보호하여 다른 키를 래핑/암호화하는 데 사용되는 대칭 키 유형입니다. KBPK는 [KEK](#terms.kek)와 유사하지만 KEK는 키 구성 요소를 직접 보호하는 반면 TR-31 및 유사한 체계에서는 KBPK가 작동 키만 간접적으로 보호합니다. [`TR-31`](#terms.tr31)를 사용하는 경우 *TR31\$1K1\$1KEY\$1BLOCK\$1PROTECTION\$1KEY*가 올바른 키 유형이지만 TR31\$1K0\$1KEY\$1ENCRYPTION\$1KEY는 기록 목적으로 상호 교환적으로 지원됩니다.
**KEK**
키 암호화 키(KEK)는 전송 또는 저장을 위해 다른 키를 암호화하는 데 사용되는 키입니다. 다른 키를 보호하기 위한 키는 일반적으로 [`TR-31`](#terms.tr31) 표준에 따라 KeyUsage가 *TR31\$1K0\$1KEY\$1ENCRYPTION\$1KEY*입니다.
**PEK**
PIN 암호화 키(PEK)는 두 당사자 간의 저장 또는 전송을 위해 PIN을 암호화하는 데 사용되는 일종의 작업 키입니다. IWK와 AWK는 핀 암호화 키를 구체적으로 사용하는 두 가지 예입니다. 이러한 키는 *TR31\$1P0\$1PIN\$1ENCRYPTION\$1KEY*로 표시됩니다.
**PGK**
PGK(핀 생성 키)는 [핀 확인 키](#terms.pvk)의 또 다른 이름입니다. 실제로 핀(기본적으로 암호화 방식으로 난수)을 생성하는 데 사용되지 않지만 PVV와 같은 확인 값을 생성하는 데 사용됩니다.
**PRK**
기본 리전 키는 복제가 활성화된 지정된 Payment Cryptography 키의 신뢰할 수 있는 복제 소스입니다. PRK는 다중 리전 키 복제 구성의 소스 Payment Cryptography 키 역할에 대한 참조입니다. Payment Cryptography 키에서 복제가 활성화되면 해당 특정 키 복제 구성에 대한 PRK라고 합니다.
**PVK**
PIN 검증 키(PVK)는 PVV와 같은 PIN 확인 값을 생성하는 데 사용되는 작업 키 유형입니다. 가장 일반적인 두 가지 종류는 IBM3624 오프셋 값을 생성하는 데 사용되는 *TR31\$1V1\$1IBM3624\$1PIN\$1VERIFICATION\$1KEY*와 Visa/ABA 검증 값에 사용되는 *TR31\$1V2\$1VISA\$1PIN\$1VERIFICATION\$1KEY*입니다. 이를 [핀 생성 키](#terms.pgk)라고도 합니다.
**RRK**
복제본 리전 키는 PRK에서 구성된 복제본으로 안전하게 복사되는 복제된 키 구성 요소 및 메타데이터입니다 AWS 리전. RRK는 Payment Cryptography 키의 읽기 전용 복제본입니다. RRK는 다중 리전 키 복제 구성에서 특정 키가 수행하는 역할을 참조합니다. 복제 설정을 포함한 모든 주요 메타데이터 변경 사항을 PRK에 적용해야 합니다.
## 기타 용어
**ARQC**
승인 요청 암호문(ARQC)은 EMV 표준 칩 카드(또는 이와 동등한 비접촉식 구현)를 통해 트랜잭션 시점에 생성되는 암호문입니다. 일반적으로 ARQC는 칩 카드로 생성되며 발급자 또는 해당 에이전트에게 전달되어 트랜잭션 시 확인됩니다.
**CVV**
카드 확인 값은 전통적으로 마그네틱 스트라이프에 포함되었으며 트랜잭션의 신뢰성을 검증하는 데 사용된 정적 보안 암호 값입니다. 알고리즘은 iCVV, CAVV, CVV2와 같은 다른 용도로도 사용됩니다. 다른 사용 사례에서는 이러한 방식으로 내장되지 않을 수 있습니다.
**CVV2**
카드 확인 값 2는 전통적으로 결제 카드의 전면(또는 후면)에 인쇄되었으며 카드가 없는 결제(예: 전화 또는 온라인)의 신뢰성을 확인하는 데 사용되는 정적 보안 암호 값입니다. CVV와 동일한 알고리즘을 사용하지만 서비스 코드는 000으로 설정됩니다.
**iCVV**
iCVV는 CVV2-like 값이지만 EMV(Chip) 카드의 track2에 상응하는 데이터에 포함되어 있습니다. 이 값은 서비스 코드 999를 사용하여 계산되며 CVV1/CVV2와 다르므로 도난 정보가 다른 유형의 새 결제 자격 증명을 생성하는 데 사용되지 않습니다. 예를 들어 칩 트랜잭션 데이터를 가져온 경우이 데이터를 사용하여 마그네틱 스트라이프(CVV1) 또는 온라인 구매(CVV2)를 생성할 수 없습니다.
[CVK](#terms.cvk) 키를 사용합니다.
**DUKPT**
트랜잭션별 파생된 고유 키(DUKPT)는 일반적으로 물리적 POS/POI에서 일회용 암호화 키 사용을 정의하는 데 사용되는 키 관리 표준입니다. 지금까지 DUKPT는 3DES를 암호화에 활용했습니다. DUKPT의 업계 표준은 ANSI X9.24-3-2017에 정의되어 있습니다.
**ECC**
ECC(Elliptic Curve Cryptography)는 타원 곡선의 수학을 사용하여 암호화 키를 생성하는 퍼블릭 키 암호화 시스템입니다. ECC는 RSA와 같은 기존 방법과 동일한 보안 수준을 제공하지만 키 길이가 훨씬 짧아 보다 효율적인 방식으로 동등한 보안을 제공합니다. 이는 RSA가 실용적인 솔루션이 아닌 사용 사례(RSA 키 길이 > 4096비트)와 특히 관련이 있습니다. AWS Payment Cryptography는 ECDH 작업에 사용하기 위해 [NIST](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf)에서 정의한 곡선을 지원합니다.
**ECDH**
ECDH(Elliptic Curve Diffie-Hellman)는 두 당사자가 공유 보안 암호(예: [KEK](#terms.kek) 또는 PEK)를 설정할 수 있도록 허용하는 주요 계약 프로토콜입니다. ECDH에서 당사자 A와 B는 각각 고유한 퍼블릭-프라이빗 키 페어를 가지고 있으며, 서로 퍼블릭 키( AWS Payment Cryptography용 인증서 형식)와 키 파생 메타데이터(파생 방법, 해시 유형 및 공유 정보)를 교환합니다. 양 당사자는 프라이빗 키에 상대방의 퍼블릭 키를 곱하고 타원 곡선 속성으로 인해 결과 키를 추출(생성)할 수 있습니다.
**EMV**
[EMV](https://www.emvco.com/)(원래 Europay, Mastercard, Visa)는 결제 이해관계자와 협력하여 상호 운용 가능한 결제 표준 및 기술을 만드는 기술 기관입니다. 한 가지 표준 예는 칩/비접촉 카드와 사용된 암호화를 포함하여 상호 작용하는 결제 터미널에 대한 것입니다. EMV 키 유도는와 같은 초기 키 세트를 기반으로 각 결제 카드에 대해 고유한 키를 생성하는 방법(들)을 의미합니다. [`IMK`](#terms.imk)
**HSM**
하드웨어 보안 모듈(HSM)은 암호화 작업(예: 암호화, 해독, 디지털 서명)과 이러한 작업에 사용되는 기본 키를 보호하는 물리적 장치입니다.
**KCAAS**
Key Custodian As A Service(KCAAS)는 키 관리와 관련된 다양한 서비스를 제공합니다. 결제 키의 경우 일반적으로 종이 기반 키 구성 요소를 AWS Payment Cryptography에서 지원하는 전자 양식으로 변환하거나 전자적으로 보호된 키를 특정 공급업체에 필요할 수 있는 종이 기반 구성 요소로 변환할 수 있습니다. 또한 손실이 지속적인 운영에 해를 끼칠 수 있는 키에 대한 키 에스크로 서비스를 제공할 수 있습니다. KCAAS 공급업체는 고객이 PCI DSS, PCI PIN 및 PCI P2PE 표준을 준수하는 방식으로 AWS Payment Cryptography와 같은 보안 서비스 외부에서 키 구성 요소를 관리하는 운영 부담을 덜 수 있도록 지원할 수 있습니다.
**KCV**
키 확인 값(KCV)은 실제 키 자료에 액세스하지 않고도 키를 서로 비교하는 데 주로 사용되는 다양한 체크섬 방법을 말합니다. KCV는 무결성 검증(특히 키 교환 시)에도 사용되었지만, 이제 이 역할은 [`TR-31`](#terms.tr31)와 같은 키 블록 형식의 일부로 포함되어 있습니다. TDES 키의 경우 KCV는 검사할 키와 함께 각각 값이 0인 8바이트를 암호화하고 암호화된 결과 중 가장 높은 순위의 3바이트를 유지하는 방식으로 계산됩니다. AES 키의 경우 KCV는 입력 데이터가 0의 16바이트이고 암호화된 결과 중 가장 높은 순위의 3바이트를 유지하는 CMAC 알고리즘을 사용하여 계산됩니다.
**KDH**
키 분포 호스트(KDH)는 [TR-34](#terms.tr34)와 같은 키 교환 프로세스를 통해 키를 전송하는 장치 또는 시스템입니다. AWS Payment Cryptography에서 키를 보내는 경우 이를 KDH로 간주합니다.
**KIF**
키 삽입 기능(KIF)은 암호화 키를 로드하는 것을 포함하여 결제 단말기를 초기화하는 데 사용되는 보안 시설입니다.
**KRD**
키 수신 장치(KRD)는 [TR-34](#terms.tr34)와 같은 키 교환 프로세스에서 키를 수신하는 장치입니다. AWS Payment Cryptography로 키를 전송할 때 키를 KRD로 간주합니다.
**KSN**
키 일련 번호(KSN)는 트랜잭션별 고유한 암호화 키를 생성하기 위해 DUKPT 암호화/해독에 입력값으로 사용되는 값입니다. KSN은 일반적으로 BDK 식별자, 준고유 단말기 ID, 특정 결제 단말기에서 전환이 처리될 때마다 증가하는 트랜잭션 카운터로 구성됩니다. X9.24에 따라 TDES의 경우 10바이트 KSN은 일반적으로 키 세트 ID의 경우 24비트, 터미널 ID의 경우 19비트, 트랜잭션 카운터의 경우 21비트로 구성되지만 키 세트 ID와 터미널 ID 사이의 경계는 AWS Payment Cryptography의 기능에 영향을 미치지 않습니다. AES의 경우 12바이트 KSN은 일반적으로 BDK ID의 경우 32비트, 파생 식별자(ID)의 경우 32비트, 트랜잭션 카운터의 경우 32비트로 구성됩니다.
**MPoC**
MPoC(상용 하드웨어의 모바일 판매 시점)는 판매자가 스마트폰 또는 기타 상용 off-the-shelf품(COTS) 모바일 디바이스를 사용하여 카드 소지자 PINs 또는 비대면 결제를 수락할 수 있도록 하는 솔루션의 보안 요구 사항을 해결하는 PCI 표준입니다.
**PAN**
기본 계좌 번호(PAN)는 신용카드나 직불카드와 같은 계좌의 고유 식별자입니다. 일반적으로 길이는 13-19자리입니다. 처음 6\$18자리는 네트워크와 발급 은행을 식별합니다.
**PIN 블록**
처리 또는 전송 중에 PIN을 포함한 기타 데이터 요소를 포함하는 데이터 블록입니다. PIN 블록 형식은 PIN 블록의 내용과 PIN 블록을 처리하여 PIN을 검색하는 방법을 표준화합니다. 대부분의 PIN 블록은 PIN, PIN 길이로 구성되며 PAN의 일부 또는 전부를 포함하는 경우가 많습니다. AWS Payment Cryptography는 ISO 9564-1 형식 0, 1, 3 및 4를 지원합니다. AES 키에는 형식 4가 필요합니다. PIN을 확인하거나 변환할 때는 수신 또는 발신 데이터의 PIN 블록을 지정해야 합니다.
**POI**
POS(판매 시점)와 함께 익명으로 자주 사용되는 POI(상호 작용 시점)는 카드 소지자가 결제 자격 증명을 제시하기 위해 상호 작용하는 하드웨어 디바이스입니다. POI의 예로는 가맹점에 있는 실제 단말기가 있습니다. 인증된 PCI PTS POI 단말기 목록은 [PCI 웹사이트](https://www.pcisecuritystandards.org/)를 참조하세요.
**PSN**
PAN 시퀀스 번호(PSN)는 동일한 [PAN](#terms.pan)으로 발급된 여러 카드를 구분하는 데 사용되는 숫자 값입니다.
**퍼블릭 키**
비대칭 암호(RSA, ECC)를 사용하는 경우 퍼블릭 키는 퍼블릭-프라이빗 키 페어의 퍼블릭 구성 요소입니다. 퍼블릭-프라이빗 키 페어의 소유자에 대한 데이터를 암호화해야 하는 엔터티에 퍼블릭 키를 공유하고 배포할 수 있습니다. 디지털 서명 작업의 경우 서명을 확인하는 데 퍼블릭 키가 사용됩니다.
**프라이빗 키**
비대칭 암호(RSA,ECC)를 사용하는 경우 프라이빗 키는 퍼블릭-프라이빗 키 페어의 프라이빗 구성 요소입니다. 프라이빗 키는 데이터를 복호화하거나 디지털 서명을 생성하는 데 사용됩니다. 대칭 AWS Payment Cryptography 키와 마찬가지로 프라이빗 키는 HSMs에서 안전하게 생성됩니다. HSM의 휘발성 메모리에만 해독되며 암호화 요청을 처리하는 데 필요한 시간 동안만 해독됩니다.
**PVV**
PIN 확인 값(PVV)은 실제 핀을 저장하지 않고 핀을 확인하는 데 사용할 수 있는 암호화 출력 유형입니다. 일반 용어이지만 AWS Payment Cryptography의 맥락에서 PVV는 Visa 또는 ABA PVV 메서드를 나타냅니다. 이 PVV는 카드 번호, 팬 시퀀스 번호, 팬 자체 및 PIN 확인 키 입력이 있는 4자리 숫자입니다. 검증 단계에서 AWS Payment Cryptography는 트랜잭션 데이터를 사용하여 PVV를 내부적으로 다시 생성하고 AWS Payment Cryptography 고객이 저장한 값을 다시 비교합니다. 이러한 방식으로 개념적으로 암호화 해시 또는 MAC와 유사합니다.
**RSA 래핑/언래핑**
RSA 래핑은 비대칭 키를 사용하여 다른 시스템으로 전송하기 위한 대칭 키(예: TDES 키)를 래핑합니다. 일치하는 프라이빗 키가 있는 시스템만 페이로드를 해독하고 대칭 키를 로드할 수 있습니다. 반대로 RSA 언래핑은 RSA를 사용하여 암호화된 키를 안전하게 해독한 다음 키를 AWS Payment Cryptography에 로드합니다. RSA 래핑은 키를 교환하는 하위 수준 방법이며 키 블록 형식으로 키를 전송하지 않으며 전송자의 페이로드 서명을 활용하지 않습니다. 제공 여부 및 키 속성이 변경되지 않았는지 확인하기 위해 대체 제어를 고려해야 합니다.
또한 TR-34는 RSA를 내부적으로 활용하지만 별도의 형식이며 상호 운용할 수 없습니다.
**TR-31**
TR-31(정식 명칭은 ANSI X9 TR 31)는 키 데이터 자체와 동일한 데이터 구조에서 키 속성을 정의할 수 있도록 미국국립표준협회(ANSI)에서 정의한 키 블록 형식입니다. TR-31 키 블록 형식은 키에 연결된 키 속성 세트를 정의하여 함께 유지됩니다. AWS Payment Cryptography는 가능한 경우 TR-31 표준화된 용어를 사용하여 적절한 키 분리 및 키 목적을 보장합니다. TR-31은 [ANSI X9.143-2022](https://webstore.ansi.org/standards/ascx9/ansix91432022)로 대체되었습니다.
**TR-34**
TR-34는 비대칭 기법(예: RSA)을 사용하여 대칭 키(예: 3DES 및 AES)를 안전하게 배포하는 프로토콜을 설명하는 ANSI X9.24-2의 구현입니다. AWS Payment Cryptography는 TR-34 메서드를 사용하여 키의 안전한 가져오기 및 내보내기를 허용합니다.
**X9.143**
X9.143은 동일한 데이터 구조에서 키 및 키 속성을 보호하기 위해 미국 국립 표준 연구소(ANSI)에서 정의한 키 블록 형식입니다. 키 블록 형식은 키에 연결된 키 속성 세트를 정의하여 함께 유지됩니다. AWS 결제 암호화는 적절한 키 분리 및 키 목적을 보장하기 위해 가능하면 X9.143 표준화된 용어를 사용합니다. X9.143은 이전 [TR-31](#terms.tr31) 제안을 대체하지만 대부분의 경우 이전 버전과 이전 버전과 호환되며 용어가 서로 바꿔서 사용되는 경우가 많습니다.
## 관련 서비스
**[AWS Key Management Service](https://aws.amazon.com/kms/)**
AWS Key Management Service(AWS KMS)는 데이터를 보호하는 데 사용되는 암호화 키를 쉽게 생성하고 제어할 수 있는 관리형 서비스입니다. AWS KMS는 하드웨어 보안 모듈(HSMs)을 사용하여 AWS KMS 키를 보호하고 검증합니다.
**[AWS CloudHSM](https://aws.amazon.com/cloudhsm/)**
AWS CloudHSM 는 AWS 클라우드에서 전용 범용 HSM 인스턴스를 고객에게 제공합니다.는 키 생성, 데이터 서명 또는 데이터 암호화 및 복호화와 같은 다양한 암호화 기능을 제공할 AWS CloudHSM 수 있습니다.
## 자세한 정보
+ AWS Payment Cryptography에 사용되는 용어 및 개념에 대한 자세한 내용은 [AWS Payment Cryptography 개념을 참조하세요](concepts.md).
+ AWS Payment Cryptography Control Plane API에 대한 자세한 내용은 [AWS Payment Cryptography Control Plane API 참조](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/Welcome.html)를 참조하세요.
+ AWS Payment Cryptography Data Plane API에 대한 자세한 내용은 [AWS Payment Cryptography Data Plane API 참조](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/Welcome.html)를 참조하세요.
+ AWS Payment Cryptography가 암호화를 사용하고 AWS Payment Cryptography 키를 보호하는 방법에 대한 자세한 기술 정보는 [암호화 세부](cryptographic-details.md) 정보를 참조하세요.
# 에 대한 엔드포인트 AWS Payment Cryptography
프로그래밍 방식으로 연결하려면 서비스에 대한 진입점의 URL인 엔드포인트를 AWS Payment Cryptography사용합니다. AWS SDKs 및 명령줄 도구는 요청의 리전 컨텍스트에 AWS 리전 따라의 서비스에 대한 기본 엔드포인트를 자동으로 사용하므로 일반적으로 이러한 값을 명시적으로 설정할 필요가 없습니다. 필요한 경우 API 요청에 대해 다른 엔드포인트를 지정할 수 있습니다.
## 컨트롤 플레인 엔드포인트
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/payment-cryptography/latest/userguide/endpoints.html)
## 데이터 영역 엔드포인트
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/payment-cryptography/latest/userguide/endpoints.html)