View a markdown version of this page

Intercambio de claves físicas - AWS Criptografía de pagos
Cómo funciona el intercambio físico de clavesSeguridad y conformidad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Intercambio de claves físicas

Puede utilizar Physical Key Exchange para convertir de forma segura los componentes de claves criptográficas en papel a formato electrónico cuando sus socios o proveedores no admitan el intercambio de claves electrónicas. Los custodios de AWS claves capacitados llevan a cabo las ceremonias clave en instalaciones AWS-operated seguras certificadas por PCI PIN y P2PE, y convierten los componentes clave en papel a formato electrónico mediante un HSM fuera de línea. El servicio utiliza el intercambio de ECDH-based claves para entregar un bloque de ECDH-wrapped TR-31 claves, que usted importa directamente a su cuenta de criptografía de pagos. AWS

nota

Recomendamos utilizar el sistema basado en estándares siempre Importación y exportación de claves que sea posible. Utilice Physical Key Exchange únicamente cuando sus socios o proveedores no admitan métodos electrónicos de intercambio de claves, como ANSI X9.24 TR-34, RSA wrap/unwrap o ECDH.

Cómo funciona el intercambio físico de claves

Para iniciar el intercambio de claves en papel, una CloudFormation plantilla le guiará a través de la configuración de los requisitos previos, incluida la creación de un par de claves ECC y un bucket S3 en su cuenta. Luego, usted o su socio envían los componentes clave en papel a la instalación AWS segura, donde los custodios de AWS llaves capacitados realizan la ceremonia de entrega de llaves mediante un HSM fuera de línea. El resultado es un bloque ECDH-wrapped TR-31 clave que se carga en el depósito de S3 y que se importa a la Importe las claves mediante técnicas asimétricas (ECDH) cuenta mediante este método. Physical Key Exchange permite importar claves KEK (uso de claves K1) o BDK (uso de claves B0) en los algoritmos de claves TDES y AES.

El siguiente diagrama muestra el proceso de intercambio de claves físicas de principio a fin.

Flujo del proceso de intercambio de claves físicas

  1. Inicio: envía un ticket de soporte o trabaja con su administrador de cuentas para enviar una solicitud.

  2. Configuración del cliente: la criptografía de AWS pagos proporciona una CloudFormation plantilla para que complete los siguientes pasos previos:

    • Cree un par de claves ECC P521 en su cuenta de criptografía AWS de pagos y recupere el certificado de clave pública.

    • Cree un bucket de Amazon S3 con una política que conceda al servicio de criptografía de AWS pagos el read/write acceso principal.

    • Guarde el certificado público de ECC y la CA raíz firmante en el bucket de Amazon S3.

    • Proporcione los atributos clave: uso clave, modos de uso clave y número de componentes clave en papel que se enviarán.

  3. Comparte el nombre del depósito de S3: el cliente comparte el nombre del depósito de S3 creado por la CloudFormation pila, donde se almacenan el certificado de clave pública, la cadena de certificados y los atributos clave para que AWS Payment Cryptography inicie el intercambio de claves.

  4. Coordinación de envíos: la criptografía de AWS pagos proporciona los detalles de envío para una instalación US-based segura. Usted o su socio envían los componentes clave en papel a los custodios AWS clave.

  5. Recibo de componentes: los custodios AWS clave reciben cada componente en papel y envían un acuse de recibo por separado para cada componente.

  6. Ceremonia de clausura: los custodios de AWS llaves llevan a cabo la ceremonia de clausura utilizando un HSM desconectado. El bloque de TR-31 claves resultante, empaquetado con una ECDH-derived AES-256 clave, el certificado público ECC del HSM sin conexión y su certificado de firma se cargan en su bucket de Amazon S3.

  7. Finalización: la criptografía AWS de pagos envía una confirmación de que se ha completado la ceremonia de entrega de llaves. A continuación, puede importar el bloque de TR-31 claves empaquetado en ECDH a su cuenta de criptografía de AWS pagos mediante este método. Importe las claves mediante técnicas asimétricas (ECDH)

  8. Facturación: se le facturará por cada clave intercambiada al completar con éxito la ceremonia de entrega de llaves.

Seguridad y conformidad

Physical Key Exchange opera en instalaciones AWS seguras diseñadas para cumplir con los requisitos de seguridad física y lógica de PCI PIN y PCI P2PE. Se han establecido los siguientes controles:

Doble control y separación de funciones

AWS Los custodios clave se asignan a partir de diferentes equipos con estructuras de presentación de informes independientes. Existen procesos para garantizar que las principales etapas de las ceremonias se lleven a cabo bajo un doble control.

HSM fuera de línea

Las ceremonias clave se llevan a cabo utilizando módulos de seguridad de HSM-listed hardware PCI PTS certificados que funcionan sin conexión a la red. La clave nunca existe en texto sin cifrar fuera del límite del HSM.

Entrega de claves criptográficas

El material clave se transfiere desde el HSM desconectado a su cuenta de criptografía de AWS pagos mediante el intercambio de ECDH-based claves, lo que garantiza una protección criptográfica integral.

Auditoría y cumplimiento

AWS cuenta con procesos para cumplir con los requisitos de conformidad aplicables que se evalúan periódicamente para las certificaciones PCI, PIN y P2PE. Revise el paquete de cumplimiento de AWS Artifact para ver los informes a los que pueda hacer referencia en sus propias evaluaciones de PCI.