Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Akquisitions- und Zahlungsvermittler
Acquirer PSPs und Zahlungsvermittler haben in der Regel andere kryptografische Anforderungen als Emittenten. Häufige Anwendungsfälle umfassen:
**Entschlüsselung von Daten**
Daten (insbesondere Pan-Daten) können von einem Zahlungsterminal verschlüsselt werden und müssen vom Backend entschlüsselt werden. [Daten entschlüsseln und Daten](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_DecryptData.html) verschlüsseln unterstützen eine Vielzahl von Methoden, darunter TDES-, AES- und DUKPT-Ableitungstechniken. Der AWS Payment Cryptography Service selbst ist ebenfalls PCI P2PE-konform und als PCI-P2PE-Entschlüsselungskomponente registriert.
**TranslatePin**
Um die PCI-PIN-Konformität zu gewährleisten, dürfen Acquiring-Systeme keine unverschlüsselten Karteninhaber-PINS haben, nachdem sie auf einem sicheren Gerät eingegeben wurden. Um die PIN vom Terminal an ein nachgeordnetes System (z. B. ein Zahlungsnetzwerk oder einen Emittenten) weiterzuleiten, muss sie daher mit einem anderen Schlüssel als dem, den das Zahlungsterminal verwendet hat, erneut verschlüsselt werden. [Translate Pin](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_TranslatePinData.html) erreicht dies, indem eine verschlüsselte PIN mit dem servicebbb sicher von einem Schlüssel in einen anderen konvertiert wird. Mit diesem Befehl können Pins zwischen verschiedenen Schemata wie der TDES-, AES- und DUKPT-Ableitung und Pinblockformaten wie ISO-0, ISO-3 und ISO-4 konvertiert werden.
**VerifyMac**
Daten von einem Zahlungsterminal können mit einem MAC-Code versehen werden, um sicherzustellen, dass die Daten während der Übertragung nicht verändert wurden. [Verify Mac](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_VerifyMac.html) und GenerateMac unterstützt eine Vielzahl von Techniken, die symmetrische Schlüssel verwenden, darunter TDES-, AES- und DUKPT-Ableitungstechniken zur Verwendung mit ISO-9797-1-Algorithmus 1, ISO-9797-1-Algorithmus 3 (Retail MAC) und CMAC-Techniken.
**Topics**
+ [Dynamische Schlüssel verwenden](use-cases-acquirers-dynamickeys.md)
# Dynamische Schlüssel verwenden
Dynamic Keys ermöglicht die Verwendung von einmalig oder begrenzt verwendbaren Schlüsseln für kryptografische Operationen wie`[EncryptData](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_EncryptData.html)`. Dieser Ablauf kann genutzt werden, wenn das Schlüsselmaterial häufig rotiert (z. B. bei jeder Kartentransaktion) und der Import des Schlüsselmaterials in den Service vermieden werden soll. Kurzlebige Schlüssel können als Teil von [SoftPoS/MPoC](terminology.md#terms.mpoc) oder anderen Lösungen verwendet werden.
**Anmerkung**
Dies kann anstelle des typischen Ablaufs der AWS Zahlungskryptografie verwendet werden, bei dem kryptografische Schlüssel entweder erstellt oder in den Dienst importiert werden und Schlüssel mit einem Schlüsselalias oder einem Schlüssel-ARN spezifiziert werden.
Die folgenden Operationen unterstützen dynamische Schlüssel:
+ EncryptData
+ DecryptData
+ ReEncryptData
+ TranslatePin
## Entschlüsseln von Daten
Das folgende Beispiel zeigt die Verwendung dynamischer Schlüssel zusammen mit dem Befehl decrypt. Die Schlüssel-ID ist in diesem Fall der Wrapping Key (KEK), der den Entschlüsselungsschlüssel sichert (der im Parameter wrapped-key im TR-31-Format bereitgestellt wird). Der verpackte Schlüssel muss der Hauptzweck von D0 sein und zusammen mit dem Befehl decrypt zusammen mit einem Verwendungsmodus von B oder D verwendet werden.
**Example**
```
$ aws payment-cryptography-data decrypt-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/ov6icy4ryas4zcza --cipher-text 1234123412341234123412341234123A --decryption-attributes 'Symmetric={Mode=CBC,InitializationVector=1234123412341234}' --wrapped-key WrappedKeyMaterial={"Tr31KeyBlock"="D0112D0TN00E0000B05A6E82D7FC68B95C84306634B0000DA4701BE9BCA318B3A30A400B059FD4A8DE19924A9D3EE459F24FDE680F8E4A40"}
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ov6icy4ryas4zcza",
"KeyCheckValue": "0A3674",
"PlainText": "2E138A746A0032023BEF5B85BA5060BA"
}
```
## Einen Pin übersetzen
Das folgende Beispiel zeigt die Verwendung von Dynamic Keys zusammen mit dem Befehl translate pin, um von einem dynamischen Schlüssel in einen semistatischen Acquirer-Working Key (AWK) zu übersetzen. Die Kennung des eingehenden Schlüssels ist in diesem Fall der Wrapping Key (KEK), der den dynamischen PIN-Verschlüsselungsschlüssel (PEK) schützt, der im TR-31-Format bereitgestellt wird. Der umhüllte Schlüssel muss `P0` zusammen mit dem Verwendungsmodus B oder D für den Hauptzweck dienen. Die Kennung des ausgehenden Schlüssels ist ein Schlüssel vom Typ `TR31_P0_PIN_ENCRYPTION_KEY` und der Verwendungsmodus Encrypt=True, Wrap=True
**Example**
```
$ aws payment-cryptography-data translate-pin-data --encrypted-pin-block "C7005A4C0FA23E02" --incoming-translation-attributes=IsoFormat0='{PrimaryAccountNumber=171234567890123}' --incoming-key-identifier alias/PARTNER1_KEK --outgoing-key-identifier alias/ACQUIRER_AWK_PEK --outgoing-translation-attributes IsoFormat0="{PrimaryAccountNumber=171234567890123}" --incoming-wrapped-key WrappedKeyMaterial={"Tr31KeyBlock"="D0112P0TB00S0000EB5D8E63076313162B04245C8CE351C956EA4A16CC32EB3FB61DE3FC75C751734B773F5B645943A854C65740738B8304"}
```
```
{
"PinBlock": "2E66192BDA390C6F",
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ov6icy4ryas4zcza",
"KeyCheckValue": "0A3674"
}
```