Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Importation et exportation de clés Vous pouvez importer des clés AWS de chiffrement de paiement depuis d'autres solutions et les exporter vers d'autres solutions, telles que les HSM. De nombreux clients échangent des clés avec des fournisseurs de services à l'aide des fonctionnalités d'importation et d'exportation. Nous avons conçu la cryptographie des AWS paiements pour utiliser une approche électronique moderne de la gestion des clés qui vous aide à maintenir la conformité et les contrôles. Nous recommandons d'utiliser un échange de clés électronique basé sur des normes plutôt que des composants clés sur papier. Si vous devez continuer à traiter les composants clés en papier jusqu'à ce que tous les partenaires acceptent l'échange électronique de clés, vous pouvez utiliser[Échange de clés physiques](keys-physicalkeyexchange.md). **Points forts minimaux et effet sur les fonctions d'importation et d'exportation** La norme PCI exige des valeurs de clé minimales spécifiques pour les opérations cryptographiques, le stockage des clés et la transmission des clés. Ces exigences peuvent changer lors de la révision des normes PCI. Les règles précisent que les clés d'emballage utilisées pour le stockage ou le transport doivent être au moins aussi solides que la clé à protéger. Nous appliquons cette exigence automatiquement lors de l'exportation et empêchons les clés d'être protégées par des clés plus faibles, comme indiqué dans le tableau suivant. Le tableau suivant indique les combinaisons de clés d'encapsulage, de clés à protéger et de méthodes de protection prises en charge. [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/payment-cryptography/latest/userguide/keys-importexport.html) Pour plus d'informations, consultez [l'annexe D - Tailles et forces de clé minimales et équivalentes pour les algorithmes approuvés](https://docs-prv.pcisecuritystandards.org/PTS/Derived%20Test%20Requirements/PCI_HSM_DTRs_v4.pdf) dans les normes PCI HSM. **Échange de clé de chiffrement (KEK)** Nous vous recommandons d'utiliser la X9.24 TR-34 norme [ANSI](terminology.md#terms.tr34). Ce type de clé initial peut être appelé clé de chiffrement (KEK), clé principale de zone (ZMK) ou clé principale de contrôle de zone (ZCMK). Si vos systèmes ou partenaires ne sont pas TR-34 encore pris en charge, vous pouvez utiliser [RSA Wrap/Unwrap](terminology.md#terms.rsawrap). Si vos besoins incluent l'échange de AES-256 clés, vous pouvez utiliser l'[ECDH](terminology.md#terms.ecdh). Pour importer vos propres clés de test ou pour synchroniser les clés avec vos HSM existants, consultez l'exemple de code de cryptographie des AWS paiements sur. [GitHub](https://github.com/aws-samples/samples-for-payment-cryptography-service/tree/main/key-import-export) **Échange de clés de travail (WK)** Nous utilisons les normes de l'industrie ([ANSI X9.24 TR 31-2018](terminology.md#terms.tr31) et X9.143) pour échanger des clés de travail. Cela nécessite que vous ayez déjà échangé un KEK en utilisant TR-34 RSA Wrap, ECDH ou des schémas similaires. Cette approche répond à l'exigence du code PIN PCI qui consiste à lier cryptographiquement le matériel clé à son type et à son utilisation à tout moment. Les clés de travail incluent les clés de travail de l'acquéreur, les clés de travail de l'émetteur, le BDK et l'IPEK. **Topics** + [Clés d'importation](keys-import.md) + [Clés d'exportation](keys-export.md) + [Rubriques avancées](keyexchange-advanced.md)