加密操作的有效密钥 - AWS 支付密码学
GenerateCard数据VerifyCard数据GeneratePinData (适用于签证/ABA计划)GeneratePinData (对于IBM3624)VerifyPinData (适用于签证/ABA计划)VerifyPinData (对于IBM3624)解密数据加密数据转换 PIN 数据生成/验证 MACVerifyAuthRequestCryptogramImport/Export 密钥未使用的密钥类型

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

加密操作的有效密钥

某些密钥只能用于某些操作。此外,某些操作可能会限制密钥的密钥使用模式。请查看下表中允许的组合。

注意

某些组合虽然允许,但可能会造成无法使用的情况,例如生成 CVV 代码(generate)但随后无法验证(verify)

GenerateCard数据

API 端点 加密操作或算法 允许的密钥用法 允许的密钥算法 允许的密钥使用模式组合
GenerateCard数据

  • AMEX_CARD_SECURITY_CODE_VERSION_1

  • AMEX_CARD_SECURITY_CODE_VERSION_2

 TR31_C0_CARD_VERIFICATION_KEY

  • TDES_2KEY

  • TDES_3KEY

{ Generate = true },{ Generate = true, Verify = true }
GenerateCard数据

  • CARD_VERIFICATION_VALUE_1

  • CARD_VERIFICATION_VALUE_2

 TR31_C0_CARD_VERIFICATION_KEY

  • TDES_2KEY

{ Generate = true },{ Generate = true, Verify = true }
GenerateCard数据

  • CARDHOLDER_AUTHENTICATION_VERIFICATION_VALUE

 TR31_E6_EMV_MKEY_OTHER

  • TDES_2KEY

{ DeriveKey = true}
GenerateCard数据

  • DYNAMIC_CARD_VERIFICATION_CODE

 TR31_E4_EMV_MKEY_DYNAMIC_NUMBERS

  • TDES_2KEY

{ DeriveKey = true}
GenerateCard数据

  • DYNAMIC_CARD_VERIFICATION_VALUE

 TR31_E6_EMV_MKEY_OTHER

  • TDES_2KEY

{ DeriveKey = true}

VerifyCard数据

加密操作或算法 允许的密钥用法 允许的密钥算法 允许的密钥使用模式组合

  • AMEX_CARD_SECURITY_CODE_VERSION_1

  • AMEX_CARD_SECURITY_CODE_VERSION_2

 TR31_C0_CARD_VERIFICATION_KEY

  • TDES_2KEY

  • TDES_3KEY

{ Generate = true },{ Generate = true, Verify = true }

  • CARD_VERIFICATION_VALUE_1

  • CARD_VERIFICATION_VALUE_2

 TR31_C0_CARD_VERIFICATION_KEY

  • TDES_2KEY

{ Generate = true },{ Generate = true, Verify = true }

  • CARDHOLDER_AUTHENTICATION_VERIFICATION_VALUE

 TR31_E6_EMV_MKEY_OTHER

  • TDES_2KEY

{ DeriveKey = true}

  • DYNAMIC_CARD_VERIFICATION_CODE

 TR31_E4_EMV_MKEY_DYNAMIC_NUMBERS

  • TDES_2KEY

{ DeriveKey = true}

  • DYNAMIC_CARD_VERIFICATION_VALUE

 TR31_E6_EMV_MKEY_OTHER

  • TDES_2KEY

{ DeriveKey = true}

GeneratePinData (适用于签证/ABA计划)

VISA_PIN or VISA_PIN_VERIFICATION_VALUE

密钥类型 允许的密钥用法 允许的密钥算法 允许的密钥使用模式组合

KMS 加密密钥

TR31_P0_PIN_ENCRYPTION_KEY

  • TDES_2KEY

  • TDES_3KEY

  • { Encrypt = true, Wrap = true }

  • { Encrypt = true, Decrypt = true, Wrap = true, Unwrap = true }

  • { NoRestrictions = true}

PIN 生成密钥

TR31_V2_VISA_PIN_VERIFICATION_KEY

  • TDES_3KEY

  • { Generate = true }

  • { Generate = true, Verify = true }

GeneratePinData (对于IBM3624

IBM3624_PIN_OFFSET,IBM3624_NATURAL_PIN,IBM3624_RANDOM_PIN, IBM3624_PIN_FROM_OFFSET)

密钥类型 允许的密钥用法 允许的密钥算法 允许的密钥使用模式组合

KMS 加密密钥

TR31_P0_PIN_ENCRYPTION_KEY

  • TDES_2KEY

  • TDES_3KEY

适用于 IBM3624_NATURAL_PIN, IBM3624_RANDOM_PIN, IBM3624_PIN_FROM_OFFSET

  • { Encrypt = true, Wrap = true }

  • { Encrypt = true, Decrypt = true, Wrap = true, Unwrap = true }

  • { NoRestrictions = true}

适用于 IBM3624_PIN_OFFSET

  • { Encrypt = true, Unwrap = true }

  • { Encrypt = true, Decrypt = true, Wrap = true, Unwrap = true }

  • { NoRestrictions = true}

PIN 生成密钥

TR31_V1_IBM3624_PIN_VERIFICATION_KEY

  • TDES_3KEY

  • { Generate = true }

  • { Generate = true, Verify = true }

VerifyPinData (适用于签证/ABA计划)

VISA_PIN

密钥类型 允许的密钥用法 允许的密钥算法 允许的密钥使用模式组合

KMS 加密密钥

TR31_P0_PIN_ENCRYPTION_KEY

  • TDES_2KEY

  • TDES_3KEY

  • { Decrypt = true, Unwrap = true }

  • { Encrypt = true, Decrypt = true, Wrap = true, Unwrap = true }

  • { NoRestrictions = true}

PIN 生成密钥

TR31_V2_VISA_PIN_VERIFICATION_KEY

  • TDES_3KEY

  • { Verify = true }

  • { Generate = true, Verify = true }

VerifyPinData (对于IBM3624

IBM3624_PIN_OFFSET,IBM3624_NATURAL_PIN,IBM3624_RANDOM_PIN, IBM3624_PIN_FROM_OFFSET)

密钥类型 允许的密钥用法 允许的密钥算法 允许的密钥使用模式组合

KMS 加密密钥

TR31_P0_PIN_ENCRYPTION_KEY

  • TDES_2KEY

  • TDES_3KEY

适用于 IBM3624_NATURAL_PIN, IBM3624_RANDOM_PIN, IBM3624_PIN_FROM_OFFSET

  • { Decrypt = true, Unwrap = true }

  • { Encrypt = true, Decrypt = true, Wrap = true, Unwrap = true }

  • { NoRestrictions = true}

PIN 验证密钥

TR31_V1_IBM3624_PIN_VERIFICATION_KEY

  • TDES_3KEY

  • { Verify = true }

  • { Generate = true, Verify = true }

解密数据

密钥类型 允许的密钥用法 允许的密钥算法 允许的密钥使用模式组合

DUKPT

TR31_B0_BASE_DERIVATION_KEY

  • TDES_2KEY

  • AES_128

  • AES_192

  • AES_256

  • { DeriveKey = true}

  • { NoRestrictions = true}

EMV

TR31_E1_EMV_MKEY_CONFIDENTIALITY

TR31_E6_EMV_MKEY_OTHER

  • TDES_2KEY

  • { DeriveKey = true}

RSA

TR31_D1_ASYMMETRIC_KEY_FOR_DATA_ENCRYPTION

  • RSA_2048

  • RSA_3072

  • RSA_4096

  • { Decrypt = true, Unwrap=true}

  • {Encrypt=true, Wrap=true,Decrypt = true, Unwrap=true}

对称密钥

TR31_D0_SYMMETRIC_DATA_ENCRYPTION_KEY

  • TDES_2KEY

  • TDES_3KEY

  • AES_128

  • AES_192

  • AES_256

  • {Decrypt = true, Unwrap=true}

  • {Encrypt=true, Wrap=true,Decrypt = true, Unwrap=true}

  • { NoRestrictions = true}

加密数据

密钥类型 允许的密钥用法 允许的密钥算法 允许的密钥使用模式组合

DUKPT

TR31_B0_BASE_DERIVATION_KEY

  • TDES_2KEY

  • AES_128

  • AES_192

  • AES_256

  • { DeriveKey = true}

  • { NoRestrictions = true}

EMV

TR31_E1_EMV_MKEY_CONFIDENTIALITY

TR31_E6_EMV_MKEY_OTHER

  • TDES_2KEY

  • { DeriveKey = true}

RSA

TR31_D1_ASYMMETRIC_KEY_FOR_DATA_ENCRYPTION

  • RSA_2048

  • RSA_3072

  • RSA_4096

  • { Encrypt = true, Wrap=true}

  • {Encrypt=true, Wrap=true,Decrypt = true, Unwrap=true}

对称密钥

TR31_D0_SYMMETRIC_DATA_ENCRYPTION_KEY

  • TDES_2KEY

  • TDES_3KEY

  • AES_128

  • AES_192

  • AES_256

  • {Encrypt = true, Wrap=true}

  • {Encrypt=true, Wrap=true,Decrypt = true, Unwrap=true}

  • { NoRestrictions = true}

转换 PIN 数据

方向 密钥类型 允许的密钥用法 允许的密钥算法 允许的密钥使用模式组合

入站数据来源

DUKPT

TR31_B0_BASE_DERIVATION_KEY

  • TDES_2KEY

  • AES_128

  • AES_192

  • AES_256

  • { DeriveKey = true}

  • { NoRestrictions = true}

入站数据来源

非 DUKPT(PEK、AWK、IWK 等)

TR31_P0_PIN_ENCRYPTION_KEY

  • TDES_2KEY

  • TDES_3KEY

  • AES_128

  • AES_192

  • AES_256

  • { Decrypt = true, Unwrap = true }

  • { Encrypt = true, Decrypt = true, Wrap = true, Unwrap = true }

  • { NoRestrictions = true}

出站数据目标

DUKPT

TR31_B0_BASE_DERIVATION_KEY

  • TDES_2KEY

  • AES_128

  • AES_192

  • AES_256

  • { DeriveKey = true}

  • { NoRestrictions = true}

出站数据目标

非 DUKPT(PEK、IWK、AWK 等)

TR31_P0_PIN_ENCRYPTION_KEY

  • TDES_2KEY

  • TDES_3KEY

  • AES_128

  • AES_192

  • AES_256

  • { Encrypt = true, Wrap = true }

  • { Encrypt = true, Decrypt = true, Wrap = true, Unwrap = true }

  • { NoRestrictions = true}

生成/验证 MAC

MAC 密钥用于创建消息/数据正文的加密哈希。不建议创建密钥使用模式有限的密钥,因为您将无法执行匹配操作。但是,如果另一个系统打算执行另一半的操作对,则只能通过一个操作来导入/导出密钥。

允许的密钥用法 允许的密钥用法 允许的密钥算法 允许的密钥使用模式组合

MAC 密钥

TR31_M1_ISO_9797_1_MAC_KEY

  • TDES_2KEY

  • TDES_3KEY

  • { Generate = true }

  • { Generate = true, Verify = true }

  • { Verify = true }

  • { Generate = true }

MAC 密钥(零售 MAC)

TR31_M1_ISO_9797_3_MAC_KEY

  • TDES_2KEY

  • TDES_3KEY

  • { Generate = true }

  • { Generate = true, Verify = true }

  • { Verify = true }

  • { Generate = true }

MAC 密钥 (CMAC)

TR31_M6_ISO_9797_5_CMAC_KEY

  • TDES_2KEY

  • TDES_3KEY

  • AES_128

  • AES_192

  • AES_256

  • { Generate = true }

  • { Generate = true, Verify = true }

  • { Verify = true }

  • { Generate = true }

MAC 密钥 (HMAC)

TR31_M7_HMAC_KEY

  • TDES_2KEY

  • TDES_3KEY

  • AES_128

  • AES_192

  • AES_256

  • { Generate = true }

  • { Generate = true, Verify = true }

  • { Verify = true }

  • { Generate = true }

VerifyAuthRequestCryptogram

允许的密钥用法 EMV 选项 允许的密钥算法 允许的密钥使用模式组合

  • 选项 A

  • 选项 B

TR31_E0_EMV_MKEY_APP_CRYPTOGRAMS

  • TDES_2KEY

  • { DeriveKey = true}

Import/Export 密钥

操作类型 允许的密钥用法 允许的密钥算法 允许的密钥使用模式组合

TR-31 包装钥匙

TR31_K1_KEY_BLOCK_PROTECTION_KEY

TR31_K0_KEY_ENCRYPTION_KEY

  • TDES_2KEY

  • TDES_3KEY

  • AES_128

  • {encrypt = true,Wrap = true}(仅导出)

  • {Decrypt = true,Unwrap = true}(仅限导入)

  • { Encrypt = true, Decrypt = true, Wrap = true, Unwrap = true }

导入可信 CA

TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE

  • RSA_2048

  • RSA_3072

  • RSA_4096

  • { Verify = true }

导入用于非对称加密的公钥证书

TR31_D1_ASYMMETRIC_KEY_FOR_DATA_ENCRYPTION

  • RSA_2048

  • RSA_3072

  • RSA_4096

  • {encrypt=True,wrap=True

未使用的密钥类型

AWS 支付密码学目前未使用以下密钥类型

  • TR31_P1_PIN_PIN_GENERATION_KEY

  • TR31_K3_ASYMMETRIC_KEY_FOR_KEY_ACTREMENT