翻譯 PIN 資料

在此範例中，我們將使用 DUKPT 將 PIN 從 AES ISO 4 PIN 區塊轉換為使用 ISO 0 PIN 區塊的 PEK TDES 加密。這在付款終端機加密 ISO 4 中的 PIN 時很常見，如果下一個連線尚未支援 AES，則可能會將其轉譯回 TDES 以進行下游處理。

$ aws payment-cryptography-data translate-pin-data --encrypted-pin-block "AC17DC148BDA645E" --outgoing-translation-attributes=IsoFormat0='{PrimaryAccountNumber=171234567890123}' --outgoing-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt  --incoming-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/4pmyquwjs3yj4vwe --incoming-translation-attributes IsoFormat4="{PrimaryAccountNumber=171234567890123}" --incoming-dukpt-attributes KeySerialNumber="FFFF9876543210E00008"  
            

    {
            "PinBlock": "1F4209C670E49F83E75CC72E81B787D9",
            "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt",
            "KeyCheckValue": "7CC9E2"
        }
                

在此範例中，我們將在一個 PEK (PIN 加密金鑰） 下加密的 PIN 轉換為另一個 PEK。這通常用於在使用不同加密金鑰的不同系統或合作夥伴之間路由交易時，同時透過在整個過程中保持 PIN 加密來保持 PCI PIN 合規。這兩個金鑰在此範例中都使用 TDES 3KEY 加密，但有多種選項可用，包括 AES ISO-4 到 TDES ISO-0、DUKPT 到 PEK 或 AS2805 到 PEK。

$ aws payment-cryptography-data translate-pin-data --encrypted-pin-block "AC17DC148BDA645E" \
    --incoming-translation-attributes IsoFormat0='{PrimaryAccountNumber=171234567890123}' \
    --incoming-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt \
    --outgoing-translation-attributes IsoFormat0='{PrimaryAccountNumber=171234567890123}' \
    --outgoing-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/alsuwfxug3pgy6xh

{
    "PinBlock": "E8F2A6C4D1B93E7F",
    "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/alsuwfxug3pgy6xh",
    "KeyCheckValue": "9A325B"
}

輸出 PIN 區塊現在會在第二個 PEK 下加密，並可安全地傳輸到保留對應金鑰的下游系統。