翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
キーのインポートとエクスポート
AWS Payment Cryptography キーは、他のソリューションからインポートすることも、他のソリューション (他の など) にエクスポートすることもできますHSMs。インポートおよびエクスポート機能を使用してサービスプロバイダーとキーを交換するのが一般的な使用例です。クラウドサービスである AWS Payment Cryptography は、適用されるコンプライアンスとコントロールを維持しながら、最新の電子的なアプローチでキー管理を行います。長期的な目標は、ペーパーベースの主要コンポーネントから標準ベースの電子的なキー交換手段に移行することです。
- キー暗号化キー (KEK) 交換
-
AWS Payment Cryptography は、確立された ANSI X9.24 TR-34 標準を使用して、最初のキー交換にパブリックキー暗号化 (RSA) の使用を推奨します。この初期キータイプの共通名には、キー暗号化キー (KEK)、ゾーンマスターキー (ZMK)、ゾーンコントロールマスターキー () が含まれますZCMK。システムまたはパートナーが TR-34 をまだサポートしていない場合は、RSAラップ/アンラップ の使用を検討することもできます。
すべてのパートナーが電子キー交換をサポートするまで、紙のキーコンポーネントの処理を継続する必要がある場合は、HSMこの目的のためにオフラインの を維持することを検討できます。
注記
独自のテストキーをインポートしたい場合は、Github
のサンプルプロジェクトをチェックしてください。他のプラットフォームからキーをインポート/エクスポートする方法については、そのプラットフォームのユーザーガイドを参照してください。 - ワーキングキー (WK) 交換
-
AWS Payment Cryptography は、関連する業界規範 (ANSIX9.24 TR 31-2018) を使用して作業キーを交換します。TR-31 は、 KEKが以前に交換されたことを前提としています。これは、キーマテリアルを常にキータイプと使用状況に暗号化バインドPCIPINするための の要件と一致しています。作業キーには、アクワイアラーの作業キー、発行者の作業キー、BDK、 などIPEK、さまざまな名前があります。
