Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Facilitateurs d'acquisition et de paiement
Les acquéreurs PSPs et les facilitateurs de paiement ont généralement des exigences cryptographiques différentes de celles des émetteurs. Cas d’utilisation courants :
**Déchiffrement des données**
Les données (en particulier les données panoramiques) peuvent être cryptées par un terminal de paiement et doivent être déchiffrées par le backend. Le [déchiffrement des données](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_DecryptData.html) et le chiffrement des données prennent en charge diverses méthodes, notamment les techniques de dérivation TDES, AES et DUKPT. Le service AWS de cryptographie des paiements lui-même est également conforme à la norme PCI P2PE et est enregistré en tant que composant de déchiffrement PCI P2PE.
**TranslatePin**
Pour garantir la conformité au code PIN PCI, les systèmes d'acquisition ne doivent pas afficher le code PIN du titulaire de la carte en clair une fois qu'il a été saisi sur un appareil sécurisé. Par conséquent, pour transmettre le code PIN du terminal à un système en aval (tel qu'un réseau de paiement ou un émetteur), il est nécessaire de le rechiffrer à l'aide d'une clé différente de celle utilisée par le terminal de paiement. [Translate Pin](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_TranslatePinData.html) y parvient en convertissant un code PIN crypté d'une clé à une autre en toute sécurité avec le servicebbb. À l'aide de cette commande, les broches peuvent être converties entre différents schémas tels que la dérivation TDES, AES et DUKPT et les formats de blocs de broches tels que ISO-0, ISO-3 et ISO-4.
**VerifyMac**
Les données d'un terminal de paiement peuvent être enregistrées sur MAC pour s'assurer qu'elles n'ont pas été modifiées pendant le transport. [Verify Mac](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_VerifyMac.html) et GenerateMac prend en charge diverses techniques utilisant des clés symétriques, notamment les techniques de dérivation TDES, AES et DUKPT à utiliser avec l'algorithme 1 ISO-9797-1, l'algorithme ISO-9797-1 3 (Retail MAC) et les techniques CMAC.
**Topics**
+ [Utilisation de touches dynamiques](use-cases-acquirers-dynamickeys.md)
# Utilisation de touches dynamiques
Les clés dynamiques permettent d'utiliser des clés à usage unique ou limité pour des opérations cryptographiques telles que`[EncryptData](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_EncryptData.html)`. Ce flux peut être utilisé lorsque le matériel clé change fréquemment (par exemple à chaque transaction par carte) et que l'on souhaite éviter d'importer le matériel clé dans le service. Les clés de courte durée peuvent être utilisées dans le cadre de [SoftPOS/MPOC](terminology.md#terms.mpoc) ou d'autres solutions.
**Note**
Cela peut être utilisé à la place du flux classique utilisant la cryptographie des AWS paiements, dans lequel les clés cryptographiques sont créées ou importées dans le service et les clés sont spécifiées à l'aide d'un alias de clé ou d'un arn de clé.
Les opérations suivantes prennent en charge les clés dynamiques :
+ EncryptData
+ DecryptData
+ ReEncryptData
+ TranslatePin
## Déchiffrement de données
L'exemple suivant montre l'utilisation de clés dynamiques avec la commande de déchiffrement. Dans ce cas, l'identifiant de clé est la clé d'encapsulation (KEK) qui sécurise la clé de déchiffrement (fournie dans le paramètre wrapped-key au format TR-31). La clé encapsulée doit être l'objectif principal de D0 à utiliser avec la commande de déchiffrement ainsi qu'un mode d'utilisation de B ou D.
**Example**
```
$ aws payment-cryptography-data decrypt-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/ov6icy4ryas4zcza --cipher-text 1234123412341234123412341234123A --decryption-attributes 'Symmetric={Mode=CBC,InitializationVector=1234123412341234}' --wrapped-key WrappedKeyMaterial={"Tr31KeyBlock"="D0112D0TN00E0000B05A6E82D7FC68B95C84306634B0000DA4701BE9BCA318B3A30A400B059FD4A8DE19924A9D3EE459F24FDE680F8E4A40"}
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ov6icy4ryas4zcza",
"KeyCheckValue": "0A3674",
"PlainText": "2E138A746A0032023BEF5B85BA5060BA"
}
```
## Traduire une épingle
L'exemple suivant montre l'utilisation de touches dynamiques associées à la commande translate pin pour passer d'une clé dynamique à une clé de travail semi-statique pour acquéreur (AWK). Dans ce cas, l'identifiant de clé entrante est la clé d'encapsulation (KEK) qui protège la clé de chiffrement dynamique par code PIN (PEK) fournie au format TR-31. La clé encapsulée doit avoir un objectif clé `P0` ainsi qu'un mode d'utilisation de B ou D. L'identifiant de clé sortante est une clé de type `TR31_P0_PIN_ENCRYPTION_KEY` et un mode d'utilisation de Encrypt=True, Wrap=True
**Example**
```
$ aws payment-cryptography-data translate-pin-data --encrypted-pin-block "C7005A4C0FA23E02" --incoming-translation-attributes=IsoFormat0='{PrimaryAccountNumber=171234567890123}' --incoming-key-identifier alias/PARTNER1_KEK --outgoing-key-identifier alias/ACQUIRER_AWK_PEK --outgoing-translation-attributes IsoFormat0="{PrimaryAccountNumber=171234567890123}" --incoming-wrapped-key WrappedKeyMaterial={"Tr31KeyBlock"="D0112P0TB00S0000EB5D8E63076313162B04245C8CE351C956EA4A16CC32EB3FB61DE3FC75C751734B773F5B645943A854C65740738B8304"}
```
```
{
"PinBlock": "2E66192BDA390C6F",
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ov6icy4ryas4zcza",
"KeyCheckValue": "0A3674"
}
```