翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
データの復号化
Decrypt Data API は、対称および非対称データ暗号化キーと、DUKPT および EMV 派生キーを使用してデータを復号するために使用されます。TDES や RSA、AES など、さまざまなアルゴリズムとバリエーションをサポートしています。
主な入力は、データの復号化に使用される復号化キー、復号化対象の HexBinary 形式の暗号文データ、および初期化ベクトルやブロック暗号モードなどの復号化属性です。主な出力には、HexBinary 形式のプレーンテキストとして復号化されたデータと、復号キーのチェックサム値が含まれます。使用可能なすべてのオプションの詳細については、「 API Guide for Decrypt」を参照してください。
AES 対称キーを使用したデータの復号化
この例では、対称キーを使用して暗号文データを復号します。この例では、 AESキーを示していますが、 TDES_2KEYおよび TDES_3KEY もサポートされています。このオペレーションでは、キー は を KeyModesOfUse に設定Decryptし、 を KeyUsage に設定する必要がありますTR31_D0_SYMMETRIC_DATA_ENCRYPTION_KEY。その他のオプションについては、「暗号化オペレーション用キー」を参照してください。
$aws payment-cryptography-data decrypt-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/tqv5yij6wtxx64pi --cipher-text 33612AB9D6929C3A828EB6030082B2BD --decryption-attributes 'Symmetric={Mode=CBC}'
{ "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/tqv5yij6wtxx64pi", "KeyCheckValue": "71D7AE", "PlainText": "31323334313233343132333431323334" }
DUKPT キーを使用したデータの復号化
注記
DUKPT で復号データを P2PE トランザクションに使用すると、PCI DSS の範囲を決定する際に考慮する必要があるクレジットカード PAN やその他のカード会員データがアプリケーションに返される可能性があります。
この例では、 オペレーションを使用して作成されたか、 オペレーションを使用してインポートされた DUKPT CreateKey キーを使用して暗号文データを復号しますImportKey。このオペレーションでは、キー は を KeyModesOfUse に設定DeriveKeyし、 を KeyUsage に設定する必要がありますTR31_B0_BASE_DERIVATION_KEY。その他のオプションについては、「暗号化オペレーション用キー」を参照してください。TDESアルゴリズムを使用する場合DUKPT、暗号文データ長は 16 バイトの倍数でなければなりません。AESアルゴリズムの場合、暗号文データ長は 32 バイトの倍数でなければなりません。
$aws payment-cryptography-data decrypt-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/tqv5yij6wtxx64pi --cipher-text 33612AB9D6929C3A828EB6030082B2BD --decryption-attributes 'Dukpt={KeySerialNumber=FFFF9876543210E00001}'
{ "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/tqv5yij6wtxx64pi", "KeyCheckValue": "71D7AE", "PlainText": "31323334313233343132333431323334" }
EMV 派生対称キーを使用したデータの復号化
この例では、 オペレーションを使用して作成された、または CreateKeyオペレーションを使用してインポートされた EMV 派生対称キーを使用して暗号文データを復号しますImportKey。このオペレーションでは、キー は を KeyModesOfUse に設定Deriveし、 を TR31_E1_EMV_MKEY_CONFIDENTIALITYまたは KeyUsage に設定する必要がありますTR31_E6_EMV_MKEY_OTHER。詳細については、「暗号化オペレーションのキー」を参照してください。
$aws payment-cryptography-data decrypt-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/tqv5yij6wtxx64pi --cipher-text 33612AB9D6929C3A828EB6030082B2BD --decryption-attributes 'Emv={MajorKeyDerivationMode=EMV_OPTION_A,PanSequenceNumber=27,PrimaryAccountNumber=1000000000000432,SessionDerivationData=02BB000000000000, InitializationVector=1500000000000999,Mode=CBC}'
{ "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/tqv5yij6wtxx64pi", "KeyCheckValue": "71D7AE", "PlainText": "31323334313233343132333431323334" }
RSA キーを使用してデータを復号化します。
この例では、 CreateKeyオペレーションを使用して作成された RSA キーペアを使用して暗号文データを復号します。このオペレーションでは、キー が を有効に KeyModesOfUse し、 を Decrypt KeyUsage に設定する必要がありますTR31_D1_ASYMMETRIC_KEY_FOR_DATA_ENCRYPTION。その他のオプションについては、「暗号化オペレーション用キー」を参照してください。
PKCS #7 または現在サポートされているないその他のパディングスキームについては、パディングインジケータ 「'Asymmetric= {}'」 を省略してパディングなしを選択し、サービスを呼び出したらパディングを削除してください。
$aws payment-cryptography-data decrypt-data \ --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/5dza7xqd6soanjtb --cipher-text 8F4C1CAFE7A5DEF9A40BEDE7F2A264635C... \ --decryption-attributes 'Asymmetric={PaddingType=OAEP_SHA256}'
{ "KeyArn": "arn:aws:payment-cryptography:us-east-1:111122223333:key/5dza7xqd6soanjtb", "KeyCheckValue": "FF9DE9CE", "PlainText": "31323334313233343132333431323334" }
