View a markdown version of this page

Generieren Sie EMV-MAC für die PIN-Änderung - AWS Kryptografie im Zahlungsverkehr
Generieren Sie EMV-MAC und verschlüsselte PIN für die PIN-Änderung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Generieren Sie EMV-MAC für die PIN-Änderung

Die EMV-PIN-Änderung kombiniert zwei Vorgänge: das Generieren eines MAC für ein Aussteller-Skript und das Verschlüsseln einer neuen PIN für die Offline-PIN-Änderung auf einer EMV-Chipkarte. Dieser Befehl wird nur in bestimmten Ländern benötigt, in denen die PIN auf der Chipkarte gespeichert ist (dies ist in europäischen Ländern üblich). Dies wird häufig verwendet, wenn ein Karteninhaber seine PIN ändern muss und die neue PIN zusammen mit einem MAC sicher auf die Karte übertragen werden muss, um die Echtheit des Befehls zu überprüfen.

Anmerkung

Wenn Sie nur Befehle an die Karte senden, aber die PIN nicht ändern müssen, sollten Sie stattdessen die Befehle ARPC CSU oder Generate EMV MAC verwenden.

Weitere Informationen finden Sie GenerateMacEmvPinChangeim API-Leitfaden.

Generieren Sie EMV-MAC und verschlüsselte PIN für die PIN-Änderung

Dieser Vorgang erfordert zwei Schlüssel: einen EMV-Integritätsschlüssel (: TR31 _E2_EMV_MKEY_INTEGRITY) für die MAC-Generierung und einen EMV-Vertraulichkeitsschlüssel (KeyUsage: _E4_EMV_MKEY_CONFIDENTITY) für die PIN-Verschlüsselung. KeyUsage TR31 Der typische Ablauf besteht darin, dass ein Backend-Prozess ein EMV-PIN-Änderungsskript generiert, das sowohl den MAC für das Ausstellerskript als auch die verschlüsselte neue PIN enthält. Der Befehl und die verschlüsselte PIN werden dann an die Karte gesendet, um die Offline-PIN zu aktualisieren. Das Senden des Befehls an die Karte fällt nicht in den Anwendungsbereich der AWS Zahlungskryptografie.

Nachrichtendaten

Zu den Nachrichtendaten gehört der APDU-Befehl für das Aussteller-Skript. Der Dienst validiert den Inhalt dieses Felds nicht.

Neuer verschlüsselter PIN-Block

Der neue verschlüsselte PIN-Block, der an die Karte gesendet wird. Dieser muss als verschlüsselter Wert unter Verwendung eines PIN-Verschlüsselungsschlüssels bereitgestellt werden.

Neue PIN, PEK-Kennung

Der Schlüssel, mit dem die neue PIN verschlüsselt wurde, bevor sie an diese API übergeben wird.

Integritätsschlüssel für sicheres Messaging

Der EMV-Integritätsschlüssel (KeyUsage: TR31 _E2_EMV_MKEY_INTEGRITY), der für die MAC-Generierung verwendet wird.

Schlüssel zur Vertraulichkeit von Secure Messaging

Der EMV-Vertraulichkeitsschlüssel (KeyUsage: TR31 _E4_EMV_MKEY_CONFIDENTITY), der für die PIN-Verschlüsselung verwendet wird.

MajorKeyDerivationMode

EMV definiert Modus A, B oder C. Modus A ist am gebräuchlichsten, und Zahlungskryptografie unterstützt derzeit Modus A oder Modus B. AWS

Mode

Der Verschlüsselungsmodus, typischerweise CBC für PIN-Änderungen.

PAN

Die Kontonummer ist in der Regel im Chipfeld 5A oder ISO8583 Feld 2 verfügbar, kann aber auch aus dem Kartensystem abgerufen werden.

PanSequenceNumber

Die Kartensequenznummer. Falls nicht verwendet, geben Sie 00 ein.

ApplicationCryptogram

Dies sind die Ableitungsdaten pro Sitzung, normalerweise der letzte ARQC aus Feld 9F26.

PinBlockLengthPosition

Gibt an, wo die PIN-Blocklänge kodiert ist. In der Regel auf NONE gesetzt. Überprüfen Sie die Spezifikationen Ihres Kartenschemas, wenn Sie sich nicht sicher sind.

PinBlockPaddingType

Gibt den Polstertyp für den PIN-Block an. In der Regel auf NO_PADDING eingestellt. Überprüfen Sie die Spezifikationen Ihres Kartenschemas, wenn Sie sich nicht sicher sind.

Beispiel
$ aws payment-cryptography-data generate-mac-emv-pin-change \
    --message-data 00A4040008A000000004101080D80500000001010A04000000000000 \
    --new-encrypted-pin-block 67FB27C75580EFE7 \
    --new-pin-pek-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt \
    --pin-block-format ISO_FORMAT_0 \
    --secure-messaging-confidentiality-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/tqv5yij6wtxx64pi \
    --secure-messaging-integrity-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk \
    --derivation-method-attributes 'EmvCommon={ApplicationCryptogram=1234567890123457,MajorKeyDerivationMode=EMV_OPTION_A,Mode=CBC,PanSequenceNumber=00,PinBlockLengthPosition=NONE,PinBlockPaddingType=NO_PADDING,PrimaryAccountNumber=171234567890123}'
{
    "SecureMessagingIntegrityKeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk",
    "SecureMessagingIntegrityKeyCheckValue": "08D7B4",
    "SecureMessagingConfidentialityKeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/tqv5yij6wtxx64pi",
    "SecureMessagingConfidentialityKeyCheckValue": "C1EB8F",
    "Mac": "5652EEDF83EA0D84",
    "EncryptedPinBlock": "F1A2B3C4D5E6F7A8"
}