View a markdown version of this page

Échange de clés physiques - AWS Cryptographie des paiements
Comment fonctionne l'échange physique de clésConformité et sécurité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Échange de clés physiques

Vous pouvez utiliser l'échange de clés physiques pour convertir en toute sécurité des composants clés cryptographiques sur support papier au format électronique lorsque vos partenaires ou fournisseurs ne prennent pas en charge l'échange électronique de clés. Des dépositaires de AWS clés qualifiés organisent des cérémonies clés dans des installations AWS-operated sécurisées certifiées PCI PIN et P2PE, convertissant les composants clés papier en format électronique à l'aide d'un HSM hors ligne. Le service utilise l'échange de ECDH-based clés pour délivrer un bloc ECDH-wrapped TR-31 clé, que vous importez directement dans votre compte AWS Payment Cryptography.

Note

Nous recommandons d'utiliser des normes dans la mesure du Importation et exportation de clés possible. Utilisez l'échange de clés physiques uniquement lorsque vos partenaires ou fournisseurs ne prennent pas en charge les méthodes d'échange de clés électroniques telles que l'ANSI X9.24 TR-34, le RSA ou l' wrap/unwrapECDH.

Comment fonctionne l'échange physique de clés

Pour lancer l'échange de clés papier, un CloudFormation modèle vous guide tout au long de la configuration préalable, y compris la création d'une paire de clés ECC et d'un compartiment S3 dans votre compte. Vous ou votre partenaire expédiez ensuite les composants clés en papier à l'installation AWS sécurisée, où des dépositaires de AWS clés qualifiés effectuent la cérémonie de remise des clés à l'aide d'un HSM hors ligne. Le résultat est un bloc ECDH-wrapped TR-31 clé chargé dans votre compartiment S3, que vous importez dans votre compte à l'aide de Importation de clés à l'aide de techniques asymétriques (ECDH) cette méthode. Physical Key Exchange prend en charge l'importation de clés KEK (utilisation des clés K1) ou BDK (utilisation des clés B0) dans les algorithmes de clés TDES et AES.

Le schéma suivant montre le processus d'échange de clés physiques de bout en bout.

Flux du processus d'échange de clés physiques

  1. Initiation — Vous soumettez un ticket d'assistance ou vous contactez votre responsable de compte pour soumettre une demande.

  2. Configuration du client — AWS Payment Cryptography fournit un CloudFormation modèle vous permettant de suivre les étapes préalables suivantes :

    • Créez une paire de clés ECC P521 dans votre compte AWS Payment Cryptography et récupérez le certificat de clé publique.

    • Créez un compartiment Amazon S3 avec une politique accordant l' read/write accès principal au service AWS Payment Cryptography.

    • Stockez le certificat public ECC et l'autorité de certification racine de signature dans le compartiment Amazon S3.

    • Indiquez les principaux attributs : utilisation des clés, principaux modes d'utilisation et nombre de composants clés en papier à envoyer.

  3. Partager le nom du compartiment S3 : le client partage le nom du compartiment S3 créé par la CloudFormation pile, où le certificat de clé publique, la chaîne de certificats et les attributs clés sont stockés pour que AWS Payment Cryptography lance l'échange de clés.

  4. Coordination de l'expédition — La cryptographie des AWS paiements fournit les détails d'expédition pour l'installation US-based sécurisée. Vous ou votre partenaire expédiez les composants clés en papier aux AWS principaux dépositaires.

  5. Réception des composants : les AWS principaux dépositaires reçoivent chaque composant papier et envoient un accusé de réception distinct pour chaque composant.

  6. Cérémonie des AWS clés : les gardiens des clés exécutent la cérémonie des clés à l'aide d'un HSM hors ligne. Le bloc de TR-31 clé obtenu, encapsulé à l'aide d'une ECDH-derived AES-256 clé, le certificat public ECC du HSM hors ligne et son certificat de signature sont chargés dans votre compartiment Amazon S3.

  7. Achèvement — La cryptographie des AWS paiements envoie une confirmation indiquant que la cérémonie des clés est terminée. Vous pouvez ensuite importer le bloc de TR-31 clé encapsulé ECDH dans votre compte AWS Payment Cryptography à l'Importation de clés à l'aide de techniques asymétriques (ECDH)aide de cette méthode.

  8. Facturation — Vous êtes facturé par clé échangée une fois la cérémonie des clés terminée avec succès.

Conformité et sécurité

L'échange de clés physiques fonctionne dans des installations AWS sécurisées conçues pour répondre aux exigences de sécurité physique et logique PCI PIN et PCI P2PE. Les contrôles suivants sont en place :

Double contrôle et séparation des tâches

AWS les principaux dépositaires sont désignés par différentes équipes dotées de structures hiérarchiques distinctes. Des processus sont en place pour garantir que les principales étapes des cérémonies sont effectuées sous double contrôle.

HSM hors ligne

Les cérémonies clés sont effectuées à l'aide de modules de sécurité HSM-listed matériels certifiés PCI PTS qui fonctionnent hors ligne sans connexion réseau. Votre clé n'existe jamais en texte clair en dehors des limites du HSM.

Livraison de clés cryptographiques

Les informations clés sont transférées du HSM hors ligne vers votre compte AWS Payment Cryptography par échange de ECDH-based clés, garantissant ainsi une protection cryptographique de bout en bout.

Audit et conformité

AWS a mis en place des processus pour répondre aux exigences de conformité applicables qui sont évaluées périodiquement pour les attestations PCI PIN et P2PE. Consultez le package de conformité dans AWS Artifact pour les rapports auxquels vous pouvez faire référence dans vos propres évaluations PCI.