Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Funciones generales
**Topics**
+ [Genera un pin aleatorio y el PVV asociado y, a continuación, verifica el valor](use-cases-issuers.generalfunctions.pvv.md)
+ [Genera o verifica un CVV para una tarjeta determinada](use-cases-issuers.generalfunctions.cvv.md)
+ [Genera o verifica una CVV2 para una tarjeta específica](use-cases-issuers.generalfunctions.cvv2.md)
+ [Genera o verifica un iCVV para una tarjeta específica](use-cases-issuers.generalfunctions.icvv.md)
+ [Verifique un ARQC de EMV y genere un ARPC](use-cases-issuers.generalfunctions.arqc.md)
+ [Genere y verifique un MAC EMV](use-cases-issuers.generalfunctions.emvmac.md)
+ [Genera un EMV MAC para el cambio de PIN](use-cases-issuers.generalfunctions.emvpinchange.md)
# Genera un pin aleatorio y el PVV asociado y, a continuación, verifica el valor
**Topics**
+ [Crea la (s) clave (s)](#use-cases-issuers.generalfunctions.pvv.setup)
+ [Genera un pin aleatorio, genera el PVV y devuelve el PIN y el PVV cifrados](#use-cases-issuers.generalfunctions.pvv.generate)
+ [Valide el PIN cifrado mediante el método PVV](#use-cases-issuers.generalfunctions.pvv.verify)
## Crea la (s) clave (s)
Para generar un pin aleatorio y el [PVV](terminology.md#terms.pvv), necesitarás dos claves: una [clave de verificación del PIN (PVK) para generar el PVV](terminology.md#terms.pvk) y una [clave de cifrado del PIN](terminology.md#terms.pek) para cifrar el pin. El pin en sí se genera aleatoriamente de forma segura dentro del servicio y no está relacionado criptográficamente con ninguna de las claves.
El PGK debe ser una clave del algoritmo TDES\$12KEY basado en el propio algoritmo PVV. Un PEK puede ser TDES\$12KEY, TDES\$13KEY o AES\$1128. En este caso, dado que el PEK está diseñado para uso interno en el sistema, el AES\$1128 sería una buena opción. Si un PEK se utiliza para intercambiarlo con otros sistemas (p. ej., redes de tarjetas, compradores ATMs) o se va a trasladar como parte de una migración, TDES\$12KEY puede ser la opción más adecuada por motivos de compatibilidad.
### Cree el PEK
```
$ aws payment-cryptography create-key \
--exportable
--key-attributes KeyAlgorithm=AES_128,KeyUsage=TR31_P0_PIN_ENCRYPTION_KEY,\
KeyClass=SYMMETRIC_KEY,\
KeyModesOfUse='{Encrypt=true,Decrypt=true,Wrap=true,Unwrap=true}' --tags='[{"Key":"CARD_BIN","Value":"12345678"}]'
```
La respuesta refleja los parámetros de la solicitud, incluyendo un ARN para las llamadas posteriores y un valor de verificación clave (KCV).
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt",
"KeyAttributes": {
"KeyUsage": "TR31_P0_PIN_ENCRYPTION_KEY",
"KeyClass": "SYMMETRIC_KEY",
"KeyAlgorithm": "AES_128",
"KeyModesOfUse": {
"Encrypt": false,
"Decrypt": false,
"Wrap": false,
"Unwrap": false,
"Generate": true,
"Sign": false,
"Verify": true,
"DeriveKey": false,
"NoRestrictions": false
}
},
"KeyCheckValue": "7CC9E2",
"KeyCheckValueAlgorithm": "CMAC",
"Enabled": true,
"Exportable": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"CreateTimestamp": "2023-06-05T06:41:46.648000-07:00",
"UsageStartTimestamp": "2023-06-05T06:41:46.626000-07:00"
}
}
```
Tome nota de lo `KeyArn` que representa la clave, por ejemplo *arn:aws:payment-cryptography:us-east- 2:111122223333:key/ivi5ksfsuplneuyt*. Lo necesitará en el siguiente paso.
### Crea el PVK
```
$ aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=TDES_2KEY,KeyUsage=TR31_V2_VISA_PIN_VERIFICATION_KEY,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Generate=true,Verify=true}' --tags='[{"Key":"CARD_BIN","Value":"12345678"}]'
```
La respuesta refleja los parámetros de la solicitud, incluyendo un ARN para las llamadas posteriores y un valor de verificación clave (KCV).
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ov6icy4ryas4zcza",
"KeyAttributes": {
"KeyUsage": "TR31_V2_VISA_PIN_VERIFICATION_KEY",
"KeyClass": "SYMMETRIC_KEY",
"KeyAlgorithm": "TDES_2KEY",
"KeyModesOfUse": {
"Encrypt": false,
"Decrypt": false,
"Wrap": false,
"Unwrap": false,
"Generate": true,
"Sign": false,
"Verify": true,
"DeriveKey": false,
"NoRestrictions": false
}
},
"KeyCheckValue": "51A200",
"KeyCheckValueAlgorithm": "ANSI_X9_24",
"Enabled": true,
"Exportable": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"CreateTimestamp": "2023-06-05T06:41:46.648000-07:00",
"UsageStartTimestamp": "2023-06-05T06:41:46.626000-07:00"
}
}
```
Tome nota de lo `KeyArn` que representa la clave, por ejemplo *arn:aws:payment-cryptography:us-east- 2:111122223333:key/ov6icy4ryas4zcza*. Lo necesitará en el siguiente paso.
## Genera un pin aleatorio, genera el PVV y devuelve el PIN y el PVV cifrados
**Example**
En este ejemplo, generaremos un nuevo pin (aleatorio) de 4 dígitos donde las salidas serán cifradas `PIN block` (. PinData PinBlock) y un `PVV` (PinData). VerificationValue). Las entradas clave son `PAN` el formato `Pin Verification Key` (también conocido como clave de generación de pines) `Pin Encryption Key` y el formato [PIN Block](terminology.md#terms.pinblock).
Este comando requiere que la clave sea de tipo`TR31_V2_VISA_PIN_VERIFICATION_KEY`.
```
$ aws payment-cryptography-data generate-pin-data --generation-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/37y2tsl45p5zjbh2 --encryption-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt --primary-account-number 171234567890123 --pin-block-format ISO_FORMAT_0 --generation-attributes VisaPin={PinVerificationKeyIndex=1}
```
```
{
"GenerationKeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/37y2tsl45p5zjbh2",
"GenerationKeyCheckValue": "7F2363",
"EncryptionKeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt",
"EncryptionKeyCheckValue": "7CC9E2",
"EncryptedPinBlock": "AC17DC148BDA645E",
"PinData": {
"VerificationValue": "5507"
}
}
```
## Valide el PIN cifrado mediante el método PVV
**Example**
En este ejemplo, validaremos un PIN para un PAN determinado. Por lo general, el titular de la tarjeta o el usuario proporcionan el PIN durante el momento de la transacción para su validación y se compara con el valor registrado (la entrada del titular de la tarjeta se proporciona como un valor cifrado del terminal u otro proveedor principal). Para validar esta entrada, también se proporcionarán los siguientes valores en tiempo de ejecución: el pin cifrado, la clave utilizada para cifrar el pin de entrada (a menudo denominado [IWK](terminology.md#terms.iwk)) `PAN` y el valor con el que realizar la verificación (a `PVV` o`PIN offset`).
Si la criptografía de AWS pago puede validar el PIN, se devuelve un http/200. Si el pin no está validado, devolverá un http/400.
```
$ aws payment-cryptography-data verify-pin-data --verification-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/37y2tsl45p5zjbh2 --encryption-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt --primary-account-number 171234567890123 --pin-block-format ISO_FORMAT_0 --verification-attributes VisaPin="{PinVerificationKeyIndex=1,VerificationValue=5507}" --encrypted-pin-block AC17DC148BDA645E
```
```
{
"VerificationKeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/37y2tsl45p5zjbh2",
"VerificationKeyCheckValue": "7F2363",
"EncryptionKeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt",
"EncryptionKeyCheckValue": "7CC9E2",
}
```
# Genera o verifica un CVV para una tarjeta determinada
[CVV](terminology.md#terms.cvv) o CVV1 es un valor que tradicionalmente está incrustado en la banda magnética de una tarjeta. No es lo mismo que CVV2 (visible para el titular de la tarjeta y para su uso en compras en línea).
El primer paso es crear una clave. Para este tutorial, debe crear una clave [CVK](terminology.md#terms.cvk) 3DES (2KEY TDES) de doble longitud.
**nota**
Tanto el CVV CVV2 como el iCVV utilizan algoritmos similares, si no idénticos, pero varían los datos de entrada. Todos utilizan el mismo tipo de clave TR31 \$1C0\$1CARD\$1VERIFICATION\$1KEY, pero se recomienda utilizar claves distintas para cada propósito. Se pueden distinguir mediante etiquetas de alias, como en el ejemplo siguiente. and/or
## Crea la clave
```
$ aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=TDES_2KEY,KeyUsage=TR31_C0_CARD_VERIFICATION_KEY,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Generate=true,Verify=true}' --tags='[{"Key":"KEY_PURPOSE","Value":"CVV"},{"Key":"CARD_BIN","Value":"12345678"}]'
```
La respuesta refleja los parámetros de la solicitud, incluyendo un ARN para las llamadas posteriores y un valor de verificación clave (KCV).
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/r52o3wbqxyf6qlqr",
"KeyAttributes": {
"KeyUsage": "TR31_C0_CARD_VERIFICATION_KEY",
"KeyClass": "SYMMETRIC_KEY",
"KeyAlgorithm": "TDES_2KEY",
"KeyModesOfUse": {
"Encrypt": false,
"Decrypt": false,
"Wrap": false,
"Unwrap": false,
"Generate": true,
"Sign": false,
"Verify": true,
"DeriveKey": false,
"NoRestrictions": false
}
},
"KeyCheckValue": "DE89F9",
"KeyCheckValueAlgorithm": "ANSI_X9_24",
"Enabled": true,
"Exportable": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"CreateTimestamp": "2023-06-05T06:41:46.648000-07:00",
"UsageStartTimestamp": "2023-06-05T06:41:46.626000-07:00"
}
}
```
Tome nota de lo `KeyArn` que representa la clave, por ejemplo *arn:aws:payment-cryptography:us-east- 2:111122223333:key/r52o3wbqxyf6qlqr*. Lo necesitará en el siguiente paso.
## Genera un CVV
**Example**
En este ejemplo, generaremos un [CVV](terminology.md#terms.cvv) para un PAN determinado con entradas de 121`PAN`, un código de servicio (tal como se define en ISO/IEC 7813) y una fecha de caducidad de la tarjeta.
Para ver todos los parámetros disponibles, consulta el apartado [CardVerificationValue1](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_CardVerificationValue1.html) de la guía de referencia de la API.
```
$ aws payment-cryptography-data generate-card-validation-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/r52o3wbqxyf6qlqr --primary-account-number=171234567890123 --generation-attributes CardVerificationValue1='{CardExpiryDate=1127,ServiceCode=121}'
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/r52o3wbqxyf6qlqr",
"KeyCheckValue": "DE89F9",
"ValidationData": "801"
}
```
## Valide el CVV
**Example**
En este ejemplo, verificaremos el [CVV](terminology.md#terms.cvv) de un PAN determinado introduciendo un CVK, un código de servicio 121`PAN`, la fecha de caducidad de la tarjeta y el CVV proporcionado durante la transacción para la validación.
Para ver todos los parámetros disponibles, consulte el apartado [CardVerificationValue1](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_CardVerificationValue1.html) de la guía de referencia de la API.
El CVV no es un valor introducido por el usuario (por ejemplo CVV2), sino que suele estar incrustado en una banda magnética. Se debe tener en cuenta si siempre debe validarse cuando se proporciona.
```
$ aws payment-cryptography-data verify-card-validation-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/r52o3wbqxyf6qlqr --primary-account-number=171234567890123 --verification-attributes CardVerificationValue1='{CardExpiryDate=1127,ServiceCode=121} --validation-data 801
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/r52o3wbqxyf6qlqr",
"KeyCheckValue": "DE89F9",
"ValidationData": "801"
}
```
# Genera o verifica una CVV2 para una tarjeta específica
[CVV2](terminology.md#terms.cvv2)es un valor que tradicionalmente se indica en el reverso de una tarjeta y se utiliza para compras en línea. En el caso de las tarjetas virtuales, también puede mostrarse en una aplicación o en una pantalla. Criptográficamente, es igual CVV1 pero con un valor de código de servicio diferente.
## Crea la clave
```
$ aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=TDES_2KEY,KeyUsage=TR31_C0_CARD_VERIFICATION_KEY,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Generate=true,Verify=true}' --tags='[{"Key":"KEY_PURPOSE","Value":"CVV2"},{"Key":"CARD_BIN","Value":"12345678"}]'
```
La respuesta refleja los parámetros de la solicitud, incluyendo un ARN para las llamadas posteriores y un valor de verificación clave (KCV).
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/7f7g4spf3xcklhzu",
"KeyAttributes": {
"KeyUsage": "TR31_C0_CARD_VERIFICATION_KEY",
"KeyClass": "SYMMETRIC_KEY",
"KeyAlgorithm": "TDES_2KEY",
"KeyModesOfUse": {
"Encrypt": false,
"Decrypt": false,
"Wrap": false,
"Unwrap": false,
"Generate": true,
"Sign": false,
"Verify": true,
"DeriveKey": false,
"NoRestrictions": false
}
},
"KeyCheckValue": "AEA5CD",
"KeyCheckValueAlgorithm": "ANSI_X9_24",
"Enabled": true,
"Exportable": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"CreateTimestamp": "2023-06-05T06:41:46.648000-07:00",
"UsageStartTimestamp": "2023-06-05T06:41:46.626000-07:00"
}
}
```
Tome nota de lo `KeyArn` que representa la clave, por ejemplo *arn:aws:payment-cryptography:us-east- 2:111122223333:key/7f7g4spf3xcklhzu*. Lo necesitará en el siguiente paso.
## Genera un CVV2
**Example**
En este ejemplo, generaremos un [CVV2](terminology.md#terms.cvv2)para un PAN determinado con entradas `PAN` y la fecha de caducidad de la tarjeta.
Para ver todos los parámetros disponibles, consulta el [CardVerificationValueapartado 2](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_CardVerificationValue2.html) de la guía de referencia de la API.
```
$ aws payment-cryptography-data generate-card-validation-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/7f7g4spf3xcklhzu --primary-account-number=171234567890123 --generation-attributes CardVerificationValue2='{CardExpiryDate=1127}'
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/7f7g4spf3xcklhzu",
"KeyCheckValue": "AEA5CD",
"ValidationData": "321"
}
```
## Valide un CVV2
**Example**
En este ejemplo, verificaremos a [CVV2](terminology.md#terms.cvv2)para un PAN determinado introduciendo un CVK, la fecha de caducidad de la tarjeta `PAN` y el CVV proporcionados durante la transacción para la validación.
Para ver todos los parámetros disponibles, consulte el apartado [CardVerificationValue2](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_CardVerificationValue2.html) de la guía de referencia de la API.
CVV2 y las demás entradas son valores introducidos por el usuario. Por lo tanto, no es necesariamente una señal de un problema que esto no se valide periódicamente.
```
$ aws payment-cryptography-data verify-card-validation-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/7f7g4spf3xcklhzu --primary-account-number=171234567890123 --verification-attributes CardVerificationValue2='{CardExpiryDate=1127} --validation-data 321
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/7f7g4spf3xcklhzu",
"KeyCheckValue": "AEA5CD",
"ValidationData": "801"
}
```
# Genera o verifica un iCVV para una tarjeta específica
[iCVV](terminology.md#terms.icvv) usa el mismo algoritmo que CVV/ CVV2 pero iCVV está integrado en una tarjeta con chip. Su código de servicio es 999.
## Crea la clave
```
$ aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=TDES_2KEY,KeyUsage=TR31_C0_CARD_VERIFICATION_KEY,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Generate=true,Verify=true}' --tags='[{"Key":"KEY_PURPOSE","Value":"ICVV"},{"Key":"CARD_BIN","Value":"12345678"}]'
```
La respuesta refleja los parámetros de la solicitud, incluyendo un ARN para las llamadas posteriores y un valor de verificación clave (KCV).
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/c7dsi763r6s7lfp3",
"KeyAttributes": {
"KeyUsage": "TR31_C0_CARD_VERIFICATION_KEY",
"KeyClass": "SYMMETRIC_KEY",
"KeyAlgorithm": "TDES_2KEY",
"KeyModesOfUse": {
"Encrypt": false,
"Decrypt": false,
"Wrap": false,
"Unwrap": false,
"Generate": true,
"Sign": false,
"Verify": true,
"DeriveKey": false,
"NoRestrictions": false
}
},
"KeyCheckValue": "1201FB",
"KeyCheckValueAlgorithm": "ANSI_X9_24",
"Enabled": true,
"Exportable": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"CreateTimestamp": "2023-06-05T06:41:46.648000-07:00",
"UsageStartTimestamp": "2023-06-05T06:41:46.626000-07:00"
}
}
```
Tome nota de lo `KeyArn` que representa la clave, por ejemplo *arn:aws:payment-cryptography:us-east- 2:111122223333:key/c7dsi763r6s7lfp3*. Lo necesitará en el siguiente paso.
## Genera un iCVV
**Example**
En este ejemplo, generaremos un [iCVV](terminology.md#terms.icvv) para un PAN determinado con entradas de`PAN`, un código de servicio (tal como se define en ISO/IEC 7813) de 999 y una fecha de caducidad de la tarjeta.
Para ver todos los parámetros disponibles, consulta el apartado [CardVerificationValue1 de la guía](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_CardVerificationValue1.html) de referencia de la API.
```
$ aws payment-cryptography-data generate-card-validation-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/c7dsi763r6s7lfp3 --primary-account-number=171234567890123 --generation-attributes CardVerificationValue1='{CardExpiryDate=1127,ServiceCode=999}'
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/c7dsi763r6s7lfp3",
"KeyCheckValue": "1201FB",
"ValidationData": "532"
}
```
## Valide iCVV
**Example**
Para la validación, las entradas son el CVK, un código de servicio 999`PAN`, la fecha de caducidad de la tarjeta y el iCVV proporcionado durante la transacción para la validación.
Para ver todos los parámetros disponibles, consulte el apartado [CardVerificationValue1](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_CardVerificationValue1.html) de la guía de referencia de la API.
El iCVV no es un valor introducido por el usuario (por ejemplo CVV2), sino que suele estar incrustado en una EMV/chip tarjeta. Se debe tener en cuenta si siempre se debe validar cuando se proporciona.
```
$ aws payment-cryptography-data verify-card-validation-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/c7dsi763r6s7lfp3 --primary-account-number=171234567890123 --verification-attributes CardVerificationValue1='{CardExpiryDate=1127,ServiceCode=999} --validation-data 532
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/c7dsi763r6s7lfp3",
"KeyCheckValue": "1201FB",
"ValidationData": "532"
}
```
# Verifique un ARQC de EMV y genere un ARPC
[El ARQC](terminology.md#terms.arqc) (criptograma de solicitud de autorización) es un criptograma generado por una tarjeta EMV (chip) y utilizado para validar los detalles de la transacción, así como el uso de una tarjeta autorizada. Incorpora datos de la tarjeta, el terminal y la propia transacción.
En el momento de la validación en el backend, se proporcionan las mismas entradas a AWS Payment Cryptography, el criptograma se recrea internamente y se compara con el valor proporcionado con la transacción. En este sentido, es similar a un MAC. [El libro 2 de EMV 4.4](https://www.emvco.com/specifications/?post_id=80377) define tres aspectos de esta función: los métodos de derivación de claves (conocidos como clave de sesión común (CSK) para generar claves de transacción únicas, una carga útil mínima y los métodos para generar una respuesta (ARPC).
Los esquemas de tarjetas individuales pueden especificar campos transaccionales adicionales para incorporarlos o el orden en que aparecen esos campos. También existen otros esquemas de derivación específicos de esquemas (generalmente obsoletos) que se tratan en otra parte de esta documentación.
Para obtener más información, consulte la guía [VerifyCardValidationData](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_VerifyCardValidationData.html)de la API.
## Crea la clave
```
$ aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=TDES_2KEY,KeyUsage=TR31_E0_EMV_MKEY_APP_CRYPTOGRAMS,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{DeriveKey=true}' --tags='[{"Key":"KEY_PURPOSE","Value":"CVN18"},{"Key":"CARD_BIN","Value":"12345678"}]'
```
La respuesta refleja los parámetros de la solicitud, incluyendo un ARN para las llamadas posteriores y un valor de verificación clave (KCV).
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk",
"KeyAttributes": {
"KeyUsage": "TR31_E0_EMV_MKEY_APP_CRYPTOGRAMS",
"KeyClass": "SYMMETRIC_KEY",
"KeyAlgorithm": "TDES_2KEY",
"KeyModesOfUse": {
"Encrypt": false,
"Decrypt": false,
"Wrap": false,
"Unwrap": false,
"Generate": false,
"Sign": false,
"Verify": false,
"DeriveKey": true,
"NoRestrictions": false
}
},
"KeyCheckValue": "08D7B4",
"KeyCheckValueAlgorithm": "ANSI_X9_24",
"Enabled": true,
"Exportable": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"CreateTimestamp": "2024-03-07T06:41:46.648000-07:00",
"UsageStartTimestamp": "2024-03-07T06:41:46.626000-07:00"
}
}
```
Tome nota de lo `KeyArn` que representa la clave, por ejemplo *arn:aws:payment-cryptography:us-east- 2:111122223333:key/pw3s6nl62t5ushfk*. Lo necesitará en el siguiente paso.
## Genera un ARQC
El ARQC se genera exclusivamente mediante una tarjeta EMV. Por lo tanto, la criptografía AWS de pagos no tiene ninguna posibilidad de generar dicha carga útil. Con fines de prueba, hay varias bibliotecas disponibles en línea que pueden generar una carga útil adecuada, así como valores conocidos que generalmente proporcionan los distintos esquemas.
## Valide un ARQC
**Example**
Si la criptografía de AWS pagos puede validar el ARQC, se devuelve un http/200. Opcionalmente, se puede proporcionar un ARPC (respuesta) e incluirlo en la respuesta una vez validado el ARQC.
```
$ aws payment-cryptography-data verify-auth-request-cryptogram --auth-request-cryptogram 61EDCC708B4C97B4 --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk --major-key-derivation-mode EMV_OPTION_A --transaction-data 00000000170000000000000008400080008000084016051700000000093800000B1F2201030000000000000000000000000000000000000000000000000000008000000000000000 --session-key-derivation-attributes='{"EmvCommon":{"ApplicationTransactionCounter":"000B", "PanSequenceNumber":"01","PrimaryAccountNumber":"9137631040001422"}}' --auth-response-attributes='{"ArpcMethod2":{"CardStatusUpdate":"12345678"}}'
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk",
"KeyCheckValue": "08D7B4",
"AuthResponseValue":"2263AC85"
}
```
# Genere y verifique un MAC EMV
EMV MAC es un MAC que utiliza la entrada de una clave derivada de EMV y, a continuación, realiza un MAC ISO9797 -3 (minorista) sobre los datos resultantes. El EMV MAC se utiliza normalmente para enviar comandos a una tarjeta EMV, por ejemplo, para desbloquear scripts.
**nota**
AWS La criptografía de pagos no valida el contenido del script. Consulte el manual de su esquema o tarjeta para obtener detalles sobre los comandos específicos que debe incluir.
Para obtener más información, consulta [MacAlgorithmEmv](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_MacAlgorithmEmv.html)la guía de la API.
**Topics**
+ [Crea la clave](#use-cases-issuers.generalfunctions.emvmac.setup)
+ [Genere un EMV MAC](#use-cases-issuers.generalfunctions.emvmac.generate)
## Crea la clave
```
$ aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=TDES_2KEY,KeyUsage=TR31_E2_EMV_MKEY_INTEGRITY,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{DeriveKey=true}' --tags='[{"Key":"KEY_PURPOSE","Value":"CVN18"},{"Key":"CARD_BIN","Value":"12345678"}]'
```
La respuesta refleja los parámetros de la solicitud, incluyendo un ARN para las llamadas posteriores y un valor de verificación clave (KCV).
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk",
"KeyAttributes": {
"KeyUsage": "TR31_E2_EMV_MKEY_INTEGRITY",
"KeyClass": "SYMMETRIC_KEY",
"KeyAlgorithm": "TDES_2KEY",
"KeyModesOfUse": {
"Encrypt": false,
"Decrypt": false,
"Wrap": false,
"Unwrap": false,
"Generate": false,
"Sign": false,
"Verify": false,
"DeriveKey": true,
"NoRestrictions": false
}
},
"KeyCheckValue": "08D7B4",
"KeyCheckValueAlgorithm": "ANSI_X9_24",
"Enabled": true,
"Exportable": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"CreateTimestamp": "2024-03-07T06:41:46.648000-07:00",
"UsageStartTimestamp": "2024-03-07T06:41:46.626000-07:00"
}
}
```
Tome nota de lo `KeyArn` que representa la clave, por ejemplo *arn:aws:payment-cryptography:us-east- 2:111122223333:key/pw3s6nl62t5ushfk*. Lo necesitará en el siguiente paso.
## Genere un EMV MAC
Lo habitual es que un proceso interno genere un script EMV (por ejemplo, para desbloquear una tarjeta), lo firme con este comando (que obtiene una clave de un solo uso específica para una tarjeta en particular) y, a continuación, devuelva el MAC. A continuación, se envía el comando \$1 MAC a la tarjeta que se va a aplicar. Enviar el comando a la tarjeta está fuera del ámbito de la criptografía de AWS pagos.
**nota**
Este comando está diseñado para comandos en los que no se envían datos cifrados (como el PIN). EMV Encrypt se puede combinar con este comando para añadir datos cifrados al script del emisor antes de ejecutar este comando
Datos del mensaje
Los datos del mensaje incluyen el encabezado y el comando de la APDU. Si bien esto puede variar según la implementación, en este ejemplo se utiliza el encabezado APDU para desbloquear (84 24 00 00 08), seguido del ATC (0007) y, por último, del ARQC de la transacción anterior (999E57 F47CACE). FD0 El servicio no valida el contenido de este campo.
Modo de derivación de claves de sesión
Este campo define cómo se genera la clave de sesión. Por lo general, EMV\$1COMMON\$1SESSION\$1KEY se usa para las nuevas implementaciones, mientras que EMV2000 \$1 AMEX \$1 MASTERCARD\$1SESSION\$1KEY \$1 VISA también se puede usar.
MajorKeyDerivationMode
EMV define el modo A, B o C. El modo A es el más común y la criptografía de pagos actualmente admite el modo A o el modo B. AWS
PAN
El número de cuenta, normalmente disponible en el campo de chip 5A o en ISO8583 el campo 2, pero también se puede recuperar del sistema de tarjetas.
PSN
El número de secuencia de la tarjeta. Si no se utiliza, introduzca 00.
SessionKeyDerivationValue
Estos son los datos de derivación por sesión. Puede ser el último ARQC (ApplicationCryptogram) del campo 9F26 o el último ATC del 9F36, según el esquema de derivación.
Rellenado
El relleno se aplica automáticamente y utiliza el método 2 de relleno 9797-1. ISO/IEC
**Example**
```
$ aws payment-cryptography-data generate-mac --message-data 84240000080007999E57FD0F47CACE --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk --message-data 8424000008999E57FD0F47CACE0007 --generation-attributes EmvMac="{MajorKeyDerivationMode=EMV_OPTION_A,PanSequenceNumber='00',PrimaryAccountNumber='2235521304123282',SessionKeyDerivationMode=EMV_COMMON_SESSION_KEY,SessionKeyDerivationValue={ApplicationCryptogram='999E57FD0F47CACE'}}"
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk",
"KeyCheckValue": "08D7B4",
"Mac":"5652EEDF83EA0D84"
}
```
# Genera un EMV MAC para el cambio de PIN
El cambio de PIN EMV combina dos operaciones: generar un MAC para un script del emisor y cifrar un nuevo PIN para cambiarlo sin conexión a Internet en una tarjeta con chip EMV. Este comando solo es necesario en algunos países en los que el PIN está almacenado en la tarjeta con chip (esto es habitual en los países europeos). Suele utilizarse cuando el titular de la tarjeta necesita cambiar su PIN y el nuevo PIN debe transmitirse de forma segura a la tarjeta junto con un MAC para comprobar la autenticidad del comando.
**nota**
Si solo necesitas enviar comandos a la tarjeta pero no cambiar el PIN, considera usar los comandos [ARPC CSU](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_VerifyAuthRequestCryptogram.html) o [Generate EMV](use-cases-issuers.generalfunctions.emvmac.md) MAC en su lugar.
Para obtener más información, consulte la guía de [GenerateMacEmvPinChange](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_GenerateMacEmvPinChange.html)la API.
## Genera un EMV (MAC) y un PIN cifrado para cambiarlo.
Esta operación requiere dos claves: una clave de integridad EMV (: TR31 \$1E2\$1EMV\$1MKEY\$1INTEGRITY) para la generación del MAC y una clave de confidencialidad EMV (KeyUsage: \$1E4\$1EMV\$1MKEY\$1CONFIDENCIALITY) para el cifrado del PIN. KeyUsage TR31 Lo habitual es que un proceso interno genere un script de cambio de PIN EMV, que incluye tanto el MAC del script del emisor como el PIN nuevo cifrado. A continuación, el comando y el PIN cifrado se envían a la tarjeta para actualizar el PIN sin conexión. Enviar el comando a la tarjeta está fuera del ámbito de la criptografía de AWS pagos.
Datos del mensaje
Los datos del mensaje incluyen el comando APDU para el script del emisor. El servicio no valida el contenido de este campo.
Nuevo bloque de PIN cifrado
El nuevo bloque de PIN cifrado que se enviará a la tarjeta. Debe proporcionarse como un valor cifrado mediante una clave de cifrado PIN.
Nuevo identificador PIN PEK
La clave utilizada para cifrar el nuevo PIN antes de pasarlo a esta API.
Clave de integridad de mensajería segura
La clave de integridad EMV (KeyUsage: TR31 \$1E2\$1EMV\$1MKEY\$1INTEGRITY) utilizada para la generación de MAC.
Clave de confidencialidad de mensajería segura
La clave de confidencialidad EMV (KeyUsage: TR31 \$1E4\$1EMV\$1MKEY\$1CONFIDENCIALITY) utilizada para el cifrado con PIN.
MajorKeyDerivationMode
EMV define el modo A, B o C. El modo A es el más común y la criptografía de pagos actualmente admite el modo A o el modo B. AWS
Mode
El modo de cifrado, normalmente CBC para las operaciones de cambio de PIN.
PAN
El número de cuenta, normalmente disponible en el campo 5A o ISO8583 2 con chip, pero también se puede recuperar del sistema de tarjetas.
PanSequenceNumber
El número de secuencia de la tarjeta. Si no se utiliza, introduzca 00.
ApplicationCryptogram
Estos son los datos de derivación por sesión, normalmente el último ARQC del campo 9F26.
PinBlockLengthPosition
Especifica dónde está codificada la longitud del bloque de PIN. Normalmente se establece en NINGUNO. Comprueba las especificaciones de tu esquema de tarjetas si no estás seguro.
PinBlockPaddingType
Especifica el tipo de relleno del bloque de PIN. Normalmente se establece en NO\$1PADDING. Comprueba las especificaciones del esquema de tu tarjeta si no estás seguro.
**Example**
```
$ aws payment-cryptography-data generate-mac-emv-pin-change \
--message-data 00A4040008A000000004101080D80500000001010A04000000000000 \
--new-encrypted-pin-block 67FB27C75580EFE7 \
--new-pin-pek-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt \
--pin-block-format ISO_FORMAT_0 \
--secure-messaging-confidentiality-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/tqv5yij6wtxx64pi \
--secure-messaging-integrity-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk \
--derivation-method-attributes 'EmvCommon={ApplicationCryptogram=1234567890123457,MajorKeyDerivationMode=EMV_OPTION_A,Mode=CBC,PanSequenceNumber=00,PinBlockLengthPosition=NONE,PinBlockPaddingType=NO_PADDING,PrimaryAccountNumber=171234567890123}'
```
```
{
"SecureMessagingIntegrityKeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk",
"SecureMessagingIntegrityKeyCheckValue": "08D7B4",
"SecureMessagingConfidentialityKeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/tqv5yij6wtxx64pi",
"SecureMessagingConfidentialityKeyCheckValue": "C1EB8F",
"Mac": "5652EEDF83EA0D84",
"EncryptedPinBlock": "F1A2B3C4D5E6F7A8"
}
```