Déchiffrer des données - AWS Cryptographie des paiements

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Déchiffrer des données

L'Decrypt DataAPI est utilisée pour déchiffrer les données à l'aide de clés de chiffrement symétriques et asymétriques ainsi que de clés dérivées de DUKPT et EMV. Différents algorithmes et variantes sont pris en chargeTDES, notamment, RSA etAES.

Les entrées principales sont la clé de déchiffrement utilisée pour déchiffrer les données, les données chiffrées au format HexBinary à déchiffrer et les attributs de déchiffrement tels que le vecteur d'initialisation, le mode sous forme de blocs, etc. Les sorties principales incluent les données déchiffrées sous forme de texte brut au format HexBinary et la valeur de la somme de contrôle pour la clé de déchiffrement. Pour plus de détails sur toutes les options disponibles, veuillez consulter le guide de l'API pour le déchiffrement.

Déchiffrer les données à l'aide d'une clé symétrique AES

Dans cet exemple, nous allons déchiffrer les données chiffrées à l'aide d'une clé symétrique. Cet exemple montre une AES clé, mais elle TDES_2KEY est également prise en charge. TDES_3KEY Pour cette opération, la clé doit être KeyModesOfUse réglée sur Decrypt et KeyUsage définie surTR31_D0_SYMMETRIC_DATA_ENCRYPTION_KEY. Consultez la section Clés pour les opérations cryptographiques pour plus d'options.

$ aws payment-cryptography-data decrypt-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/tqv5yij6wtxx64pi --cipher-text 33612AB9D6929C3A828EB6030082B2BD --decryption-attributes 'Symmetric={Mode=CBC}'
{ "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/tqv5yij6wtxx64pi", "KeyCheckValue": "71D7AE", "PlainText": "31323334313233343132333431323334" }

Déchiffrer les données à l'aide de la clé DUKPT

Note

L'utilisation de données de déchiffrement avec DUKPT pour les transactions P2PE peut renvoyer à votre application les données PAN et autres données du titulaire de la carte, qui devront être prises en compte lors de la détermination de son champ d'application PCI DSS.

Dans cet exemple, nous allons déchiffrer les données chiffrées à l'aide d'une clé DUKPT créée à l'aide de l'CreateKeyopération ou importée à l'aide de l'opération. ImportKey Pour cette opération, la clé doit être KeyModesOfUse réglée sur DeriveKey et KeyUsage définie surTR31_B0_BASE_DERIVATION_KEY. Consultez la section Clés pour les opérations cryptographiques pour plus d'options. Lorsque vous utilisezDUKPT, pour l'TDESalgorithme, la longueur des données du texte chiffré doit être un multiple de 16 octets. Pour AES l'algorithme, la longueur des données du texte chiffré doit être un multiple de 32 octets.

$ aws payment-cryptography-data decrypt-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/tqv5yij6wtxx64pi --cipher-text 33612AB9D6929C3A828EB6030082B2BD --decryption-attributes 'Dukpt={KeySerialNumber=FFFF9876543210E00001}'
{ "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/tqv5yij6wtxx64pi", "KeyCheckValue": "71D7AE", "PlainText": "31323334313233343132333431323334" }

Déchiffrer les données à l'aide d'une clé symétrique dérivée d'EMV

Dans cet exemple, nous allons déchiffrer les données de texte chiffré à l'aide d'une clé symétrique dérivée de l'EMV créée à l'aide de l'opération ou importée à l'aide de l'CreateKeyopération. ImportKey Pour cette opération, la clé doit être KeyModesOfUse définie sur Derive et KeyUsage définie sur TR31_E1_EMV_MKEY_CONFIDENTIALITY ouTR31_E6_EMV_MKEY_OTHER. Reportez-vous à la section Clés pour les opérations cryptographiques pour plus de détails.

$ aws payment-cryptography-data decrypt-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/tqv5yij6wtxx64pi --cipher-text 33612AB9D6929C3A828EB6030082B2BD --decryption-attributes 'Emv={MajorKeyDerivationMode=EMV_OPTION_A,PanSequenceNumber=27,PrimaryAccountNumber=1000000000000432,SessionDerivationData=02BB000000000000, InitializationVector=1500000000000999,Mode=CBC}'
{ "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/tqv5yij6wtxx64pi", "KeyCheckValue": "71D7AE", "PlainText": "31323334313233343132333431323334" }

Déchiffrer les données à l'aide d'une clé RSA

Dans cet exemple, nous allons déchiffrer les données de texte chiffré à l'aide d'une paire de clés RSA créée à l'aide de l'opération. CreateKey Pour cette opération, la clé doit être KeyModesOfUse réglée sur Activé Decrypt et KeyUsage définie surTR31_D1_ASYMMETRIC_KEY_FOR_DATA_ENCRYPTION. Consultez la section Clés pour les opérations cryptographiques pour plus d'options.

Pour le PKCS #7 ou d'autres systèmes de rembourrage non pris en charge actuellement, veuillez ne sélectionner aucun rembourrage en omettant l'indicateur de rembourrage « Asymmetric= {} » et supprimez le rembourrage après avoir appelé le service.

$ aws payment-cryptography-data decrypt-data \ --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/5dza7xqd6soanjtb --cipher-text 8F4C1CAFE7A5DEF9A40BEDE7F2A264635C... \ --decryption-attributes 'Asymmetric={PaddingType=OAEP_SHA256}'
{ "KeyArn": "arn:aws:payment-cryptography:us-east-1:111122223333:key/5dza7xqd6soanjtb", "KeyCheckValue": "FF9DE9CE", "PlainText": "31323334313233343132333431323334" }