本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 控制目标 3:以安全的方式传送或传输密钥。 *要求 8:*作为我们的 PCI PIN 评估的一部分,使用 AWS 支付密码学对密钥传输进行了评估。在从 AWS Payment Cryptography 导入之前和导出之后,您需要记录转账的密钥保护机制。该服务为所有钥匙提供密钥检查值,以验证运输方式是否正确。 要求 8-4 要求以保护公钥完整性和真实性的方式传送公钥。应用程序和 AWS 之间的传输由应用程序的身份验证控制 AWS,使用 AWS Identity and Access Management 方法, AWS通过 TLS 服务器证书对应用程序进行 API 端点身份验证。此外,从 P AWS ayment Cryptography 导出或导入的公钥具有由客户特定的临时签名的证书 CAs (请参阅[GetPublicKeyCertificate](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetPublicKeyCertificate)、和)。[GetParametersForImport[GetParametersForExport](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetParametersForExport)](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetParametersForImport)它们 CAs 不能用作唯一的身份验证方法,因为它们不符合 PCI PIN 安全附录 A2。但是,这些证书仍然为公钥提供完整性保证,IAM 提供身份验证。 使用非对称方法与业务合作伙伴交换公钥时,您必须提供通过通信渠道对企业进行身份验证,例如使用安全的文件交换网站。 *要求 9:*该服务不使用或不直接支持明文关键组件。 *要求 10:*该服务强制执行相对的密钥强度,以保护交通工具的钥匙。您负责在从 P AWS ayment Cryptography 导入之前和之后进行密钥传输,并使用准确的 API 和 TR-31 参数进行密钥导入、导出和生成。您应该有记录在案的程序来描述密钥传输机制和用于运输的加密密钥清单。 *要求 11:*您的程序文档必须说明密钥的传送方式。使用 Payment Cryptography API 进行密钥传输的程序应包括使用具有密钥导入和导出权限的角色,以及允许运行脚本或其他创建密钥的代码的角色。 AWS AWS CloudTrail 日志包含全部[ImportKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ImportKey)和[ExportKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ExportKey)事件。