了解 AWS 支付密码学密钥的关键属性 - AWS 支付密码学
对称密钥非对称密钥

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

了解 AWS 支付密码学密钥的关键属性

正确管理密钥的原则是,密钥的范围必须适当,并且只能用于允许的操作。因此,某些密钥只能在特定密钥使用模式下创建。只要有可能,这就与 TR-31 定义的可用使用模式保持一致。

尽管 AWS 支付密码学可以防止您创建无效密钥,但为了方便起见,此处提供了有效的密钥组合。

对称密钥

  • TR31_B0_BASE_DERIATION_KEY

    • 允许的密钥算法:TDES_2KEY ,TDES_3KEY ,AES_128 ,AES_192 ,AES_256

    • 允许的按键使用模式组合{ DeriveKey = true}、{ NoRestrictions = true}

  • TR31_C0_CARD_VERIFICATION_KEY

    • 允许的密钥算法:TDES_2KEY、TDES_3KEY、AES_128*、AES_192*、AES_256*

    • 允许的密钥使用模式组合{生成 = true}、{Verify = true}、{Generate = true、Verify= true}、{= true}、{ NoRestrictions = true}

  • TR31_D0_SYMMETRIC_DATA_加密密钥

    • 允许的密钥算法:TDES_2KEY ,TDES_3KEY ,AES_128 ,AES_192 ,AES_256

    • 允许的密钥使用模式组合{Encrypt = true、Decrypt = true、Wrap = true、Unwrap = true}、{encrypt = true、Unwrap = true}、{= true}、{= true} NoRestrictions

  • TR31_E0_EMV_MKEY_APP_CRYPTOGRAMS

    • 允许的密钥算法:TDES_2KEY、TDES_3KEY*、AES_128*、AES_192*、AES_256*

    • 允许的按键使用模式组合{ DeriveKey = true}、{ NoRestrictions = true}

  • TR31_E1_EMV_mkey_机密性

    • 允许的密钥算法:TDES_2KEY、TDES_3KEY、AES_128*、AES_192*、AES_256*

    • 允许的按键使用模式组合{ DeriveKey = true}、{ NoRestrictions = true}

  • TR31_E2_EMV_mkey_INTEGRITY

    • 允许的密钥算法:TDES_2KEY、TDES_3KEY、AES_128*、AES_192*、AES_256*

    • 允许的按键使用模式组合{ DeriveKey = true}、{ NoRestrictions = true}

  • TR31_E4_EMV_MKEY_DYNAMIC_NUMBERS

    • 允许的密钥算法:TDES_2KEY、TDES_3KEY、AES_128*、AES_192*、AES_256*

    • 允许的按键使用模式组合{ DeriveKey = true}、{ NoRestrictions = true}

  • TR31_E5_EMV_MKEY_CARD_PERSONALIZATION

    • 允许的密钥算法:TDES_2KEY、TDES_3KEY、AES_128*、AES_192*、AES_256*

    • 允许的按键使用模式组合{ DeriveKey = true}、{ NoRestrictions = true}

  • TR31_E6_EMV_MKEY_OTHER

    • 允许的密钥算法:TDES_2KEY、TDES_3KEY、AES_128*、AES_192*、AES_256*

    • 允许的按键使用模式组合{ DeriveKey = true}、{ NoRestrictions = true}

  • TR31_K0_KEY_NECRYPTION_KEY

    • 建议使用 TR31 _K1_KEY_BLOCK_PROTECTION_KEY。允许的密钥算法:TDES_2KEY ,TDES_3KEY ,AES_128 ,AES_192 ,AES_256

    • 允许的密钥使用模式组合{Encrypt = true、Decrypt = true、Wrap = true、Unwrap = true}、{encrypt = true、Unwrap = true}、{= true}、{= true} NoRestrictions

  • TR31_K1_KEY_BLOCK_PROTECTION_K

    • 允许的密钥算法:TDES_2KEY ,TDES_3KEY ,AES_128 ,AES_192 ,AES_256

    • 允许的密钥使用模式组合{Encrypt = true、Decrypt = true、Wrap = true、Unwrap = true}、{encrypt = true、Unwrap = true}、{= true}、{= true} NoRestrictions

  • TR31_M1_ISO_9797_1_MAC_KEY

    • 允许的密钥算法:TDES_2KEY、TDES_3KEY

    • 允许的密钥使用模式组合{生成 = true}、{Verify = true}、{Generate = true、Verify= true}、{= true}、{ NoRestrictions = true}

  • TR31_M3_ISO_9797_3_MAC_KEY

    • 允许的密钥算法:TDES_2KEY、TDES_3KEY

    • 允许的密钥使用模式组合{生成 = true}、{Verify = true}、{Generate = true、Verify= true}、{= true}、{ NoRestrictions = true}

  • TR31_M6_ISO_9797_5_CMAC_KEY

    • 允许的密钥算法:TDES_2KEY ,TDES_3KEY ,AES_128 ,AES_192 ,AES_256

    • 允许的密钥使用模式组合{生成 = true}、{Verify = true}、{Generate = true、Verify= true}、{= true}、{ NoRestrictions = true}

  • TR31_m7_HMAC_KEY

    • 允许的密钥算法:TDES_2KEY ,TDES_3KEY ,AES_128 ,AES_192 ,AES_256

    • 允许的密钥使用模式组合{生成 = true}、{Verify = true}、{Generate = true、Verify= true}、{= true}、{ NoRestrictions = true}

  • TR31_P0_PIN_加密密钥

    • 允许的密钥算法:TDES_2KEY ,TDES_3KEY ,AES_128 ,AES_192 ,AES_256

    • 允许的密钥使用模式组合{Encrypt = true、Decrypt = true、Wrap = true、Unwrap = true}、{encrypt = true、Unwrap = true}、{= true}、{= true} NoRestrictions

  • TR31_V1_ _PIN_VERIFICATION_KEY IBM3624

    • 允许的密钥算法:TDES_2KEY ,TDES_3KEY ,AES_128 ,AES_192 ,AES_256

    • 允许的密钥使用模式组合{生成 = true}、{Verify = true}、{Generate = true、Verify= true}、{= true}、{ NoRestrictions = true}

  • TR31_V2_VISA_PIN_PIN_VERIFICATION_KEY

    • 允许的密钥算法:TDES_2KEY ,TDES_3KEY ,AES_128 ,AES_192 ,AES_256

    • 允许的密钥使用模式组合{生成 = true}、{Verify = true}、{Generate = true、Verify= true}、{= true}、{ NoRestrictions = true}

非对称密钥

  • TR31_D1_用于数据加密的非对称密钥

    • 允许的密钥算法:RSA_2048 ,RSA_3072 ,RSA_4096

    • 允许的密钥使用模式组合{ Encrypt = true, Decrypt = true, Wrap = true, Unwrap = true } ,{ Encrypt = true, Wrap = true } ,{ Decrypt = true, Unwrap = true }

    • 注意:: {encrypt = true,Wrap = true} 是导入用于加密数据或封装密钥的公钥时唯一有效的选项

  • TR31_S0_ASYMETRIC_KEY_FOR _DIGITAL_SIGNATURE

    • 允许的密钥算法:RSA_2048 ,RSA_3072 ,RSA_4096

    • 允许的按键使用模式组合{Sign = true}、{Verify = true}

    • 注意::在导入用于签名的密钥(例如 TR-34 的根证书、中间证书或签名证书)时,{Verify = true} 是唯一有效的选项。

  • TR31_K3_ASYMETRIC_KEY_FOR _KEY_AGEMENT

    • 用于密钥协议算法,例如 ECDH

    • 允许的密钥算法:ECC_NIST_P256、ECC_NIST_P384、ECC_NIST_P521

    • 允许的按键使用模式组合{ DeriveKey = true}。

    • 注意:DeriveKeyUsage 用于指定将从该基本密钥派生出哪种密钥。这在创建/导入密钥时已修复。

  • TR31_K2_ _ASYMMETRIC_KEY TR34

    • 用于兼容 X9.24 的密钥交换机制(例如 TR-34)的非对称密钥

    • 允许的密钥算法:RSA_2048、RSA_3072、RSA_4096

    • 允许的按键使用模式组合{ DeriveKey = true}。

    • 允许的密钥使用模式组合{ Encrypt = true, Decrypt = true, Wrap = true, Unwrap = true } ,{ Encrypt = true, Wrap = true } ,{ Decrypt = true, Unwrap = true }

    • 注意:: {encrypt = true,Wrap = true} 是导入用于加密数据或封装密钥的公钥时唯一有效的选项

* 目前任何加密操作都不支持这种 algorithm/key 类型组合