Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erstellen von Schlüsseln
Sie können mithilfe der **CreateKey** API-Operation Schlüssel für die AWS Zahlungskryptografie erstellen. Wenn Sie einen Schlüssel erstellen, geben Sie Attribute wie den Schlüsselalgorithmus, die Schlüsselverwendung, zulässige Operationen und die Frage an, ob der Schlüssel exportierbar ist. Sie können diese Eigenschaften nicht mehr ändern, nachdem Sie den AWS Payment Cryptography Key erstellt haben.
**Anmerkung**
Wenn die Schlüsselreplikation für mehrere Regionen für Ihren aktiviert ist AWS-Konto und Sie einen Payment Cryptography Key erstellen, wird dieser Schlüssel automatisch zu einem [Primary Region Key (](terminology.md#term.prk)PRK). PRK wird repliziert, auch wenn Sie den Parameter nicht im `--replication-regions` Befehl angeben. **CreateKey** Weitere Informationen finden Sie unter [So funktioniert die Schlüsselreplikation in mehreren Regionen](keys-multi-region-replication.md#how-mrr-works).
**Topics**
+ [Erstellen eines 3KEY-TDES-Basisableitungsschlüssels](#3des-deriv-mrr-example)
+ [Erstellen eines 2KEY-TDES-Schlüssels für CVV/ CVV2](#cvvkey-example)
+ [Einen HMAC-Schlüssel erstellen](#hmac-example)
+ [Einen AES-256-Schlüssel erstellen](#aes-example)
+ [Einen PIN-Verschlüsselungsschlüssel (PEK) erstellen](#pekkey-example)
+ [Erstellen eines asymmetrischen Schlüssels (RSA)](#asymmetrickey-example)
+ [Erstellen eines PVV-Schlüssels (PIN Verification Value)](#pvv-example)
+ [Einen asymmetrischen ECC-Schlüssel erstellen](#ECDH-example)
## Erstellen eines 3KEY-TDES-Basisableitungsschlüssels
**Example**
Mit diesem Befehl wird ein 3KEY-TDES-Ableitungsschlüssel erstellt, der in die Regionen USA Ost (Ohio) und USA West (Oregon) [repliziert](keys-multi-region-replication.md#how-mrr-works) wird. Die Antwort umfasst die Anforderungsparameter, einen Amazon-Ressourcennamen (ARN) für nachfolgende Aufrufe und einen Key Check Value (KCV).
```
$ aws payment-cryptography create-key --exportable --key-attributes \
"KeyUsage=TR31_B0_BASE_DERIVATION_KEY, \
KeyClass=SYMMETRIC_KEY,KeyAlgorithm=TDES_3KEY, \
KeyModesOfUse={NoRestrictions=true}" \
--replication-regions us-east-2 --region us-west-2
```
Beispielausgabe:
```
{
"Key": {
"CreateTimestamp": "2022-10-26T16:04:11.642000-07:00",
"Enabled": true,
"Exportable": true,
"KeyArn": "FE23D3",
"KeyAttributes": {
"KeyAlgorithm": "TDES_3KEY",
"KeyClass": "SYMMETRIC_KEY",
"KeyModesOfUse": {
"Decrypt": false,
"DeriveKey": true,
"Encrypt": false,
"Generate": false,
"NoRestrictions": false,
"Sign": false,
"Unwrap": false,
"Verify": true,
"Wrap": false
},
"KeyUsage": "TR31_B0_BASE_DERIVATION_KEY"
},
"KeyCheckValue": "FE23D3",
"KeyCheckValueAlgorithm": "ANSI_X9_24",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"KeyState": "CREATE_COMPLETE",
"UsageStartTimestamp": "2022-10-26T16:04:11.559000-07:00"
}
```
## Erstellen eines 2KEY-TDES-Schlüssels für CVV/ CVV2
**Example**
Dieser Befehl erstellt einen 2KEY-TDES-Schlüssel zum Generieren und Überprüfen von CVV/-Werten. CVV2 Die Antwort umfasst die Anforderungsparameter, einen Amazon-Ressourcennamen (ARN) für nachfolgende Aufrufe und einen Key Check Value (KCV).
```
$ aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=TDES_2KEY, \
KeyUsage=TR31_C0_CARD_VERIFICATION_KEY,KeyClass=SYMMETRIC_KEY, \
KeyModesOfUse='{Generate=true,Verify=true}'
```
Beispielausgabe:
```
{
"Key": {
"CreateTimestamp": "2022-10-26T16:04:11.642000-07:00",
"Enabled": true,
"Exportable": true,
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/7f7g4spf3xcklhzu",
"KeyAttributes": {
"KeyAlgorithm": "TDES_2KEY",
"KeyClass": "SYMMETRIC_KEY",
"KeyModesOfUse": {
"Decrypt": false,
"DeriveKey": false,
"Encrypt": false,
"Generate": true,
"NoRestrictions": false,
"Sign": false,
"Unwrap": false,
"Verify": true,
"Wrap": false
},
"KeyUsage": "TR31_C0_CARD_VERIFICATION_KEY"
},
"KeyCheckValue": "AEA5CD",
"KeyCheckValueAlgorithm": "ANSI_X9_24",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"KeyState": "CREATE_COMPLETE",
"UsageStartTimestamp": "2022-10-26T16:04:11.559000-07:00"
}
}
```
## Einen HMAC-Schlüssel erstellen
**Example**
HMAC-Schlüssel werden zur Generierung oder Überprüfung von Hash Message Authentication Codes (HMAC) verwendet. Bei HMAC-Schlüsseln wird der Hashtyp zum Zeitpunkt der Schlüsselerstellung zugewiesen (z. B. HMAC\$1 SHA224 und SHA512 HMAC\$1) und kann nicht geändert werden.
```
$ aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=HMAC_SHA512,KeyUsage=TR31_M7_HMAC_KEY,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Generate = true,Verify = true}'
```
Beispielausgabe:
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/qnobl5lghrzunce6",
"KeyAttributes": {
"KeyUsage": "TR31_M7_HMAC_KEY",
"KeyClass": "SYMMETRIC_KEY",
"KeyAlgorithm": "HMAC_SHA512",
"KeyModesOfUse": {
"Encrypt": false,
"Decrypt": false,
"Wrap": false,
"Unwrap": false,
"Generate": true,
"Sign": false,
"Verify": true,
"DeriveKey": false,
"NoRestrictions": false
}
},
"KeyCheckValue": "2976E7",
"KeyCheckValueAlgorithm": "HMAC",
"Enabled": true,
"Exportable": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"CreateTimestamp": "2025-07-30T10:06:12.142000-07:00",
"UsageStartTimestamp": "2025-07-30T10:06:12.128000-07:00"
}
}
```
## Einen AES-256-Schlüssel erstellen
**Example**
Dieser Befehl erstellt einen symmetrischen AES-256-Schlüssel für die Datenverschlüsselung und -entschlüsselung. AES-Schlüssel bieten eine starke Verschlüsselung sensibler Daten und werden häufig bei der Zahlungsabwicklung zur Verschlüsselung von Karteninhaberdaten und anderen vertraulichen Informationen verwendet. TDES wird jedoch häufiger für Anwendungsfälle von Emittenten wie EMV verwendet.
```
$ aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=AES_256,KeyUsage=TR31_D0_SYMMETRIC_DATA_ENCRYPTION_KEY,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Encrypt=true,Decrypt=true,Wrap=true,Unwrap=true}'
```
Beispielausgabe:
```
{
"Key": {
"CreateTimestamp": "2025-02-02T10:15:30.142000-08:00",
"Enabled": true,
"Exportable": true,
"KeyArn": "arn:aws:payment-cryptography:us-east-1:111122223333:key/kwapwa6qaifllw2h",
"KeyAttributes": {
"KeyAlgorithm": "AES_256",
"KeyClass": "SYMMETRIC_KEY",
"KeyModesOfUse": {
"Decrypt": true,
"DeriveKey": false,
"Encrypt": true,
"Generate": false,
"NoRestrictions": false,
"Sign": false,
"Unwrap": true,
"Verify": false,
"Wrap": true
},
"KeyUsage": "TR31_D0_SYMMETRIC_DATA_ENCRYPTION_KEY"
},
"KeyCheckValue": "2976F5",
"KeyCheckValueAlgorithm": "CMAC",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"KeyState": "CREATE_COMPLETE",
"UsageStartTimestamp": "2025-02-02T10:15:30.128000-08:00"
}
}
```
## Einen PIN-Verschlüsselungsschlüssel (PEK) erstellen
**Example**
Dieser Befehl erstellt einen 3KEY-TDES-Schlüssel zum Verschlüsseln von PIN-Werten. Je nach Bedarf an Interoperabilität können PIN-Schlüssel jedoch auch AES-Schlüssel sein. Sie können diesen Schlüssel verwenden, um ihn PINs während der Überprüfung, z. B. bei einer Transaktion, sicher zu speichern PINs oder zu entschlüsseln. Die Antwort umfasst die Anforderungsparameter, einen ARN für nachfolgende Aufrufe und einen KCV.
```
$ aws payment-cryptography create-key --exportable --key-attributes \
KeyAlgorithm=TDES_3KEY,KeyUsage=TR31_P0_PIN_ENCRYPTION_KEY, \
KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Encrypt=true,Decrypt=true,Wrap=true,Unwrap=true}'
```
Beispielausgabe:
```
{
"Key": {
"CreateTimestamp": "2022-10-27T08:27:51.795000-07:00",
"Enabled": true,
"Exportable": true,
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt",
"KeyAttributes": {
"KeyAlgorithm": "TDES_3KEY",
"KeyClass": "SYMMETRIC_KEY",
"KeyModesOfUse": {
"Decrypt": true,
"DeriveKey": false,
"Encrypt": true,
"Generate": false,
"NoRestrictions": false,
"Sign": false,
"Unwrap": true,
"Verify": false,
"Wrap": true
},
"KeyUsage": "TR31_P0_PIN_ENCRYPTION_KEY"
},
"KeyCheckValue": "7CC9E2",
"KeyCheckValueAlgorithm": "ANSI_X9_24",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"KeyState": "CREATE_COMPLETE",
"UsageStartTimestamp": "2022-10-27T08:27:51.753000-07:00"
}
}
```
## Erstellen eines asymmetrischen Schlüssels (RSA)
**Example**
Dieser Befehl generiert ein neues asymmetrisches RSA 2048-Bit-Schlüsselpaar. Er erstellt einen neuen privaten Schlüssel und den dazugehörigen öffentlichen Schlüssel. Sie können den öffentlichen Schlüssel mithilfe der [getPublicCertificate](keys.getpubliccertificate-example.md)API abrufen.
```
$ aws payment-cryptography create-key --exportable \
--key-attributes KeyAlgorithm=RSA_2048,KeyUsage=TR31_D1_ASYMMETRIC_KEY_FOR_DATA_ENCRYPTION, \
KeyClass=ASYMMETRIC_KEY_PAIR,KeyModesOfUse='{Encrypt=true, Decrypt=True,Wrap=True,Unwrap=True}'
```
Beispielausgabe:
```
{
"Key": {
"CreateTimestamp": "2022-11-15T11:15:42.358000-08:00",
"Enabled": true,
"Exportable": true,
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/nsq2i3mbg6sn775f",
"KeyAttributes": {
"KeyAlgorithm": "RSA_2048",
"KeyClass": "ASYMMETRIC_KEY_PAIR",
"KeyModesOfUse": {
"Decrypt": true,
"DeriveKey": false,
"Encrypt": true,
"Generate": false,
"NoRestrictions": false,
"Sign": false,
"Unwrap": true,
"Verify": false,
"Wrap": true
},
"KeyUsage": "TR31_D1_ASYMMETRIC_KEY_FOR_DATA_ENCRYPTION"
},
"KeyCheckValue": "40AD487F",
"KeyCheckValueAlgorithm": "SHA-1",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"KeyState": "CREATE_COMPLETE",
"UsageStartTimestamp": "2022-11-15T11:15:42.182000-08:00"
}
}
```
## Erstellen eines PVV-Schlüssels (PIN Verification Value)
**Example**
Dieser Befehl erstellt einen 3KEY-TDES-Schlüssel zum Generieren von PVV-Werten. Sie können diesen Schlüssel verwenden, um ein PVV zu generieren, das mit einem anschließend berechneten PVV verglichen werden kann. Die Antwort umfasst die Anforderungsparameter, einen ARN für nachfolgende Aufrufe und einen KCV.
```
$ aws payment-cryptography create-key --exportable \
--key-attributes KeyAlgorithm=TDES_3KEY,KeyUsage=TR31_V2_VISA_PIN_VERIFICATION_KEY, \
KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Generate=true,Verify=true}'
```
Beispielausgabe:
```
{
"Key": {
"CreateTimestamp": "2022-10-27T10:22:59.668000-07:00",
"Enabled": true,
"Exportable": true,
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/37y2tsl45p5zjbh2",
"KeyAttributes": {
"KeyAlgorithm": "TDES_3KEY",
"KeyClass": "SYMMETRIC_KEY",
"KeyModesOfUse": {
"Decrypt": false,
"DeriveKey": false,
"Encrypt": false,
"Generate": true,
"NoRestrictions": false,
"Sign": false,
"Unwrap": false,
"Verify": true,
"Wrap": false
},
"KeyUsage": "TR31_V2_VISA_PIN_VERIFICATION_KEY"
},
"KeyCheckValue": "7F2363",
"KeyCheckValueAlgorithm": "ANSI_X9_24",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"KeyState": "CREATE_COMPLETE",
"UsageStartTimestamp": "2022-10-27T10:22:59.614000-07:00"
}
}
```
## Einen asymmetrischen ECC-Schlüssel erstellen
**Example**
Dieser Befehl generiert ein ECC-Schlüsselpaar für den Aufbau einer ECDH-Schlüsselvereinbarung (Elliptic Curve Diffie-Hellman) zwischen zwei Parteien. Bei ECDH generiert jede Partei ihr eigenes ECC-Schlüsselpaar mit dem Hauptzweck K3 und dem Verwendungsmodus X und tauscht öffentliche Schlüssel aus. Beide Parteien verwenden dann ihren privaten Schlüssel und den empfangenen öffentlichen Schlüssel, um einen gemeinsamen abgeleiteten Schlüssel zu erstellen.
Um das Prinzip der einmaligen Verwendung kryptografischer Schlüssel bei Zahlungen aufrechtzuerhalten, empfehlen wir, ECC-Schlüsselpaare nicht für mehrere Zwecke wiederzuverwenden, z. B. für die Ableitung und Signierung von ECDH-Schlüsseln.
```
$ aws payment-cryptography create-key --exportable \
--key-attributes KeyAlgorithm=ECC_NIST_P256,KeyUsage=TR31_K3_ASYMMETRIC_KEY_FOR_KEY_AGREEMENT, \
KeyClass=ASYMMETRIC_KEY_PAIR,KeyModesOfUse='{DeriveKey=true}'
```
Beispielausgabe:
```
{
"Key": {
"CreateTimestamp": "2024-10-17T01:31:55.908000+00:00",
"Enabled": true,
"Exportable": true,
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/wc3rjsssguhxtilv",
"KeyAttributes": {
"KeyAlgorithm": "ECC_NIST_P256",
"KeyClass": "ASYMMETRIC_KEY_PAIR",
"KeyModesOfUse": {
"Decrypt": false,
"DeriveKey": true,
"Encrypt": false,
"Generate": false,
"NoRestrictions": false,
"Sign": false,
"Unwrap": false,
"Verify": false,
"Wrap": false
},
"KeyUsage": "TR31_K3_ASYMMETRIC_KEY_FOR_KEY_AGREEMENT"
},
"KeyCheckValue": "7E34F19F",
"KeyCheckValueAlgorithm": "SHA-1",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"KeyState": "CREATE_COMPLETE",
"UsageStartTimestamp": "2024-10-17T01:31:55.866000+00:00"
}
}
```