Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Intercambio de claves físicas
Puede utilizar Physical Key Exchange para convertir de forma segura los componentes de claves criptográficas en papel a formato electrónico cuando sus socios o proveedores no admitan el intercambio de claves electrónicas. Los custodios de AWS claves capacitados llevan a cabo las ceremonias clave en instalaciones AWS-operated seguras certificadas por PCI PIN y P2PE, y convierten los componentes clave en papel a formato electrónico mediante un HSM fuera de línea. El servicio utiliza el intercambio de ECDH-based claves para entregar un bloque de ECDH-wrapped TR-31 claves, que usted importa directamente a su cuenta de criptografía de pagos. AWS
**nota**
Recomendamos utilizar el sistema basado en estándares siempre [Importación y exportación de claves](keys-importexport.md) que sea posible. [Utilice Physical Key Exchange únicamente cuando sus socios o proveedores no admitan métodos electrónicos de intercambio de claves, como [ANSI X9.24 TR-34](terminology.md#terms.tr34), [RSA wrap/unwrap](terminology.md#terms.rsawrap) o ECDH.](terminology.md#terms.ecdh)
## Cómo funciona el intercambio físico de claves
Para iniciar el intercambio de claves en papel, una [CloudFormation plantilla](https://github.com/aws-samples/samples-for-payment-cryptography-service/tree/main/physical-key-exchange) le guiará a través de la configuración de los requisitos previos, incluida la creación de un par de claves ECC y un bucket S3 en su cuenta. Luego, usted o su socio envían los componentes clave en papel a la instalación AWS segura, donde los custodios de AWS llaves capacitados realizan la ceremonia de entrega de llaves mediante un HSM fuera de línea. El resultado es un bloque ECDH-wrapped TR-31 clave que se carga en el depósito de S3 y que se importa a la [Importe las claves mediante técnicas asimétricas (ECDH)](keys-import.md#keys-import-ecdh) cuenta mediante este método. Physical Key Exchange permite importar claves KEK (uso de claves K1) o BDK (uso de claves B0) en los algoritmos de claves TDES y AES.
El siguiente diagrama muestra el proceso de intercambio de claves físicas de principio a fin.
1. **Inicio**: envía un ticket de soporte o trabaja con su administrador de cuentas para enviar una solicitud.
1. **Configuración del cliente**: la criptografía de AWS pagos proporciona una CloudFormation plantilla para que complete los siguientes pasos previos:
+ Cree un par de claves ECC P521 en su cuenta de criptografía AWS de pagos y recupere el certificado de clave pública.
+ Cree un bucket de Amazon S3 con una política que conceda al servicio de criptografía de AWS pagos el read/write acceso principal.
+ Guarde el certificado público de ECC y la CA raíz firmante en el bucket de Amazon S3.
+ Proporcione los atributos clave: uso clave, modos de uso clave y número de componentes clave en papel que se enviarán.
1. **Comparte el nombre del depósito de S3**: el cliente comparte el nombre del depósito de S3 creado por la CloudFormation pila, donde se almacenan el certificado de clave pública, la cadena de certificados y los atributos clave para que AWS Payment Cryptography inicie el intercambio de claves.
1. **Coordinación de envíos: la** criptografía de AWS pagos proporciona los detalles de envío para una instalación US-based segura. Usted o su socio envían los componentes clave en papel a los custodios AWS clave.
1. **Recibo de componentes**: los custodios AWS clave reciben cada componente en papel y envían un acuse de recibo por separado para cada componente.
1. **Ceremonia de clausura**: los custodios de AWS llaves llevan a cabo la ceremonia de clausura utilizando un HSM desconectado. El bloque de TR-31 claves resultante, empaquetado con una ECDH-derived AES-256 clave, el certificado público ECC del HSM sin conexión y su certificado de firma se cargan en su bucket de Amazon S3.
1. **Finalización: la** criptografía AWS de pagos envía una confirmación de que se ha completado la ceremonia de entrega de llaves. A continuación, puede importar el bloque de TR-31 claves empaquetado en ECDH a su cuenta de criptografía de AWS pagos mediante este método. [Importe las claves mediante técnicas asimétricas (ECDH)](keys-import.md#keys-import-ecdh)
1. **Facturación**: se le facturará por cada clave intercambiada al completar con éxito la ceremonia de entrega de llaves.
## Seguridad y conformidad
Physical Key Exchange opera en instalaciones AWS seguras diseñadas para cumplir con los requisitos de seguridad física y lógica de PCI PIN y PCI P2PE. Se han establecido los siguientes controles:
Doble control y separación de funciones
AWS Los custodios clave se asignan a partir de diferentes equipos con estructuras de presentación de informes independientes. Existen procesos para garantizar que las principales etapas de las ceremonias se lleven a cabo bajo un doble control.
HSM fuera de línea
Las ceremonias clave se llevan a cabo utilizando módulos de seguridad de HSM-listed hardware PCI PTS certificados que funcionan sin conexión a la red. La clave nunca existe en texto sin cifrar fuera del límite del HSM.
Entrega de claves criptográficas
El material clave se transfiere desde el HSM desconectado a su cuenta de criptografía de AWS pagos mediante el intercambio de ECDH-based claves, lo que garantiza una protección criptográfica integral.
Auditoría y cumplimiento
AWS cuenta con procesos para cumplir con los requisitos de conformidad aplicables que se evalúan periódicamente para las certificaciones PCI, PIN y P2PE. Revise el paquete de cumplimiento de AWS Artifact para ver los informes a los que pueda hacer referencia en sus propias evaluaciones de PCI.