Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erstellen von Schlüsseln
Sie können mithilfe der CreateKey API-Operation Schlüssel für die AWS Zahlungskryptografie erstellen. Wenn Sie einen Schlüssel erstellen, geben Sie Attribute wie den Schlüsselalgorithmus, die Schlüsselverwendung, zulässige Operationen und die Frage an, ob der Schlüssel exportierbar ist. Sie können diese Eigenschaften nicht mehr ändern, nachdem Sie den AWS Payment Cryptography Key erstellt haben.
Anmerkung
Wenn die Multi-Region Schlüsselreplikation für Sie aktiviert ist AWS-Konto und Sie einen Payment Cryptography Key erstellen, wird dieser Schlüssel automatisch zu einem Primary Region Key (PRK). PRK wird repliziert, auch wenn Sie den --replication-regions Parameter nicht im Befehl angeben. CreateKey Weitere Informationen finden Sie unter Multi-Region So funktioniert die Schlüsselreplikation.
Beispiele
Erstellen eines 3KEY-TDES-Basisableitungsschlüssels
Beispiel
Mit diesem Befehl wird ein 3KEY-TDES-Ableitungsschlüssel erstellt, der in die Regionen USA Ost (Ohio) und USA West (Oregon) repliziert wird. Die Antwort umfasst die Anforderungsparameter, einen Amazon-Ressourcennamen (ARN) für nachfolgende Aufrufe und einen Key Check Value (KCV).
$aws payment-cryptography create-key --exportable --key-attributes \ "KeyUsage=TR31_B0_BASE_DERIVATION_KEY, \ KeyClass=SYMMETRIC_KEY,KeyAlgorithm=TDES_3KEY, \ KeyModesOfUse={NoRestrictions=true}" \ --replication-regions us-east-2 --region us-west-2
Beispielausgabe:
{ "Key": { "CreateTimestamp": "2022-10-26T16:04:11.642000-07:00", "Enabled": true, "Exportable": true, "KeyArn": "FE23D3", "KeyAttributes": { "KeyAlgorithm": "TDES_3KEY", "KeyClass": "SYMMETRIC_KEY", "KeyModesOfUse": { "Decrypt": false, "DeriveKey": true, "Encrypt": false, "Generate": false, "NoRestrictions": false, "Sign": false, "Unwrap": false, "Verify": true, "Wrap": false }, "KeyUsage": "TR31_B0_BASE_DERIVATION_KEY" }, "KeyCheckValue": "FE23D3", "KeyCheckValueAlgorithm": "ANSI_X9_24", "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY", "KeyState": "CREATE_COMPLETE", "UsageStartTimestamp": "2022-10-26T16:04:11.559000-07:00" }
Erstellen eines 2KEY-TDES-Schlüssels für CVV/CVV2
Beispiel
Dieser Befehl erstellt einen 2KEY-TDES-Schlüssel zum Generieren und Überprüfen von Werten. CVV/CVV2 Die Antwort umfasst die Anforderungsparameter, einen Amazon-Ressourcennamen (ARN) für nachfolgende Aufrufe und einen Key Check Value (KCV).
$aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=TDES_2KEY, \ KeyUsage=TR31_C0_CARD_VERIFICATION_KEY,KeyClass=SYMMETRIC_KEY, \ KeyModesOfUse='{Generate=true,Verify=true}'
Beispielausgabe:
{ "Key": { "CreateTimestamp": "2022-10-26T16:04:11.642000-07:00", "Enabled": true, "Exportable": true, "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/7f7g4spf3xcklhzu", "KeyAttributes": { "KeyAlgorithm": "TDES_2KEY", "KeyClass": "SYMMETRIC_KEY", "KeyModesOfUse": { "Decrypt": false, "DeriveKey": false, "Encrypt": false, "Generate": true, "NoRestrictions": false, "Sign": false, "Unwrap": false, "Verify": true, "Wrap": false }, "KeyUsage": "TR31_C0_CARD_VERIFICATION_KEY" }, "KeyCheckValue": "AEA5CD", "KeyCheckValueAlgorithm": "ANSI_X9_24", "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY", "KeyState": "CREATE_COMPLETE", "UsageStartTimestamp": "2022-10-26T16:04:11.559000-07:00" } }
Einen HMAC-Schlüssel erstellen
Beispiel
HMAC-Schlüssel werden zur Generierung oder Überprüfung von Hash Message Authentication Codes (HMAC) verwendet. Bei HMAC-Schlüsseln wird der Hashtyp zum Zeitpunkt der Schlüsselerstellung zugewiesen (z. B. HMAC_SHA224 und HMAC_SHA512) und kann nicht geändert werden.
$aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=HMAC_SHA512,KeyUsage=TR31_M7_HMAC_KEY,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Generate = true,Verify = true}'
Beispielausgabe:
{ "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/qnobl5lghrzunce6", "KeyAttributes": { "KeyUsage": "TR31_M7_HMAC_KEY", "KeyClass": "SYMMETRIC_KEY", "KeyAlgorithm": "HMAC_SHA512", "KeyModesOfUse": { "Encrypt": false, "Decrypt": false, "Wrap": false, "Unwrap": false, "Generate": true, "Sign": false, "Verify": true, "DeriveKey": false, "NoRestrictions": false } }, "KeyCheckValue": "2976E7", "KeyCheckValueAlgorithm": "HMAC", "Enabled": true, "Exportable": true, "KeyState": "CREATE_COMPLETE", "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY", "CreateTimestamp": "2025-07-30T10:06:12.142000-07:00", "UsageStartTimestamp": "2025-07-30T10:06:12.128000-07:00" } }
Einen Schlüssel erstellen AES-256
Beispiel
Dieser Befehl erstellt einen AES-256 symmetrischen Schlüssel für die Datenverschlüsselung und -entschlüsselung. AES-Schlüssel bieten eine starke Verschlüsselung sensibler Daten und werden häufig bei der Zahlungsabwicklung zur Verschlüsselung von Karteninhaberdaten und anderen vertraulichen Informationen verwendet. TDES wird jedoch häufiger für Anwendungsfälle von Emittenten wie EMV verwendet.
$aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=AES_256,KeyUsage=TR31_D0_SYMMETRIC_DATA_ENCRYPTION_KEY,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Encrypt=true,Decrypt=true,Wrap=true,Unwrap=true}'
Beispielausgabe:
{ "Key": { "CreateTimestamp": "2025-02-02T10:15:30.142000-08:00", "Enabled": true, "Exportable": true, "KeyArn": "arn:aws:payment-cryptography:us-east-1:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyAlgorithm": "AES_256", "KeyClass": "SYMMETRIC_KEY", "KeyModesOfUse": { "Decrypt": true, "DeriveKey": false, "Encrypt": true, "Generate": false, "NoRestrictions": false, "Sign": false, "Unwrap": true, "Verify": false, "Wrap": true }, "KeyUsage": "TR31_D0_SYMMETRIC_DATA_ENCRYPTION_KEY" }, "KeyCheckValue": "2976F5", "KeyCheckValueAlgorithm": "CMAC", "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY", "KeyState": "CREATE_COMPLETE", "UsageStartTimestamp": "2025-02-02T10:15:30.128000-08:00" } }
Einen PIN-Verschlüsselungsschlüssel (PEK) erstellen
Beispiel
Dieser Befehl erstellt einen 3KEY-TDES-Schlüssel zum Verschlüsseln von PIN-Werten. Je nach Bedarf an Interoperabilität können PIN-Schlüssel jedoch auch AES-Schlüssel sein. Sie können diesen Schlüssel verwenden, um PINs sicher zu speichern oder PINs während der Überprüfung, z. B. bei einer Transaktion, zu entschlüsseln. Die Antwort umfasst die Anforderungsparameter, einen ARN für nachfolgende Aufrufe und einen KCV.
$aws payment-cryptography create-key --exportable --key-attributes \ KeyAlgorithm=TDES_3KEY,KeyUsage=TR31_P0_PIN_ENCRYPTION_KEY, \ KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Encrypt=true,Decrypt=true,Wrap=true,Unwrap=true}'
Beispielausgabe:
{ "Key": { "CreateTimestamp": "2022-10-27T08:27:51.795000-07:00", "Enabled": true, "Exportable": true, "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt", "KeyAttributes": { "KeyAlgorithm": "TDES_3KEY", "KeyClass": "SYMMETRIC_KEY", "KeyModesOfUse": { "Decrypt": true, "DeriveKey": false, "Encrypt": true, "Generate": false, "NoRestrictions": false, "Sign": false, "Unwrap": true, "Verify": false, "Wrap": true }, "KeyUsage": "TR31_P0_PIN_ENCRYPTION_KEY" }, "KeyCheckValue": "7CC9E2", "KeyCheckValueAlgorithm": "ANSI_X9_24", "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY", "KeyState": "CREATE_COMPLETE", "UsageStartTimestamp": "2022-10-27T08:27:51.753000-07:00" } }
Erstellen eines asymmetrischen Schlüssels (RSA)
Beispiel
Dieser Befehl generiert ein neues asymmetrisches RSA 2048-Bit-Schlüsselpaar. Er erstellt einen neuen privaten Schlüssel und den dazugehörigen öffentlichen Schlüssel. Sie können den öffentlichen Schlüssel mit der PublicCertificate Get-API abrufen.
$aws payment-cryptography create-key --exportable \ --key-attributes KeyAlgorithm=RSA_2048,KeyUsage=TR31_D1_ASYMMETRIC_KEY_FOR_DATA_ENCRYPTION, \ KeyClass=ASYMMETRIC_KEY_PAIR,KeyModesOfUse='{Encrypt=true, Decrypt=True,Wrap=True,Unwrap=True}'
Beispielausgabe:
{ "Key": { "CreateTimestamp": "2022-11-15T11:15:42.358000-08:00", "Enabled": true, "Exportable": true, "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/nsq2i3mbg6sn775f", "KeyAttributes": { "KeyAlgorithm": "RSA_2048", "KeyClass": "ASYMMETRIC_KEY_PAIR", "KeyModesOfUse": { "Decrypt": true, "DeriveKey": false, "Encrypt": true, "Generate": false, "NoRestrictions": false, "Sign": false, "Unwrap": true, "Verify": false, "Wrap": true }, "KeyUsage": "TR31_D1_ASYMMETRIC_KEY_FOR_DATA_ENCRYPTION" }, "KeyCheckValue": "40AD487F", "KeyCheckValueAlgorithm": "SHA-1", "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY", "KeyState": "CREATE_COMPLETE", "UsageStartTimestamp": "2022-11-15T11:15:42.182000-08:00" } }
Erstellen eines PVV-Schlüssels (PIN Verification Value)
Beispiel
Dieser Befehl erstellt einen 3KEY-TDES-Schlüssel zum Generieren von PVV-Werten. Sie können diesen Schlüssel verwenden, um ein PVV zu generieren, das mit einem anschließend berechneten PVV verglichen werden kann. Die Antwort umfasst die Anforderungsparameter, einen ARN für nachfolgende Aufrufe und einen KCV.
$aws payment-cryptography create-key --exportable \ --key-attributes KeyAlgorithm=TDES_3KEY,KeyUsage=TR31_V2_VISA_PIN_VERIFICATION_KEY, \ KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Generate=true,Verify=true}'
Beispielausgabe:
{ "Key": { "CreateTimestamp": "2022-10-27T10:22:59.668000-07:00", "Enabled": true, "Exportable": true, "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/37y2tsl45p5zjbh2", "KeyAttributes": { "KeyAlgorithm": "TDES_3KEY", "KeyClass": "SYMMETRIC_KEY", "KeyModesOfUse": { "Decrypt": false, "DeriveKey": false, "Encrypt": false, "Generate": true, "NoRestrictions": false, "Sign": false, "Unwrap": false, "Verify": true, "Wrap": false }, "KeyUsage": "TR31_V2_VISA_PIN_VERIFICATION_KEY" }, "KeyCheckValue": "7F2363", "KeyCheckValueAlgorithm": "ANSI_X9_24", "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY", "KeyState": "CREATE_COMPLETE", "UsageStartTimestamp": "2022-10-27T10:22:59.614000-07:00" } }
Einen asymmetrischen ECC-Schlüssel erstellen
Beispiel
Dieser Befehl generiert ein ECC-Schlüsselpaar für den Aufbau einer ECDH-Schlüsselvereinbarung (Elliptic Curve Diffie-Hellman) zwischen zwei Parteien. Bei ECDH generiert jede Partei ihr eigenes ECC-Schlüsselpaar mit dem Hauptzweck K3 und dem Verwendungsmodus X und tauscht öffentliche Schlüssel aus. Beide Parteien verwenden dann ihren privaten Schlüssel und den empfangenen öffentlichen Schlüssel, um einen gemeinsamen abgeleiteten Schlüssel zu erstellen.
Um das Prinzip der einmaligen Verwendung kryptografischer Schlüssel bei Zahlungen aufrechtzuerhalten, empfehlen wir, ECC-Schlüsselpaare nicht für mehrere Zwecke wiederzuverwenden, z. B. für die Ableitung und Signierung von ECDH-Schlüsseln.
$aws payment-cryptography create-key --exportable \ --key-attributes KeyAlgorithm=ECC_NIST_P256,KeyUsage=TR31_K3_ASYMMETRIC_KEY_FOR_KEY_AGREEMENT, \ KeyClass=ASYMMETRIC_KEY_PAIR,KeyModesOfUse='{DeriveKey=true}'
Beispielausgabe:
{ "Key": { "CreateTimestamp": "2024-10-17T01:31:55.908000+00:00", "Enabled": true, "Exportable": true, "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/wc3rjsssguhxtilv", "KeyAttributes": { "KeyAlgorithm": "ECC_NIST_P256", "KeyClass": "ASYMMETRIC_KEY_PAIR", "KeyModesOfUse": { "Decrypt": false, "DeriveKey": true, "Encrypt": false, "Generate": false, "NoRestrictions": false, "Sign": false, "Unwrap": false, "Verify": false, "Wrap": false }, "KeyUsage": "TR31_K3_ASYMMETRIC_KEY_FOR_KEY_AGREEMENT" }, "KeyCheckValue": "7E34F19F", "KeyCheckValueAlgorithm": "SHA-1", "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY", "KeyState": "CREATE_COMPLETE", "UsageStartTimestamp": "2024-10-17T01:31:55.866000+00:00" } }
