翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 物理キー交換
<a name="keys-physicalkeyexchange"></a>

パートナーまたはベンダーが電子キー交換をサポートしていない場合は、物理キー交換を使用して、紙ベースの暗号化キーコンポーネントを安全に電子形式に変換できます。トレーニングを受けた AWS キー管理者は、PCI PIN および P2PE 認定の AWS 運用の安全な施設でキーセレモニーを実行し、オフライン HSM を使用して紙のキーコンポーネントを電子形式に変換します。このサービスは、ECDH ベースのキー交換を使用して ECDH でラップされた TR-31 キーブロックを配信し、これを AWS Payment Cryptography アカウントに直接インポートします。

**注記**  
[キーのインポートとエクスポート](keys-importexport.md) 可能な限り、標準ベースの を使用することをお勧めします。パートナーまたはベンダーが [ANSI X9.24 TR-34](terminology.md#terms.tr34)、[RSA ラップ/ラップ解除](terminology.md#terms.rsawrap)、[ECDH](terminology.md#terms.ecdh) などの電子キー交換方法をサポートしていない場合にのみ、物理キー交換を使用してください。

## 物理キー交換の仕組み
<a name="pke-how-it-works"></a>

ペーパーキー交換を開始するには、[CloudFormation テンプレート](https://github.com/aws-samples/samples-for-payment-cryptography-service/tree/main/physical-key-exchange)を使用して、アカウントに ECC キーペアと S3 バケットを作成するなど、前提条件のセットアップをガイドします。次に、ユーザーまたはパートナーは、紙のキーコンポーネントを AWS 安全な施設に配送します。ここでは、トレーニングされた AWS キー管理者がオフライン HSM を使用してキーセレモニーを実行します。出力は、S3 バケットにアップロードされた ECDH でラップされた TR-31 キーブロックで、 [非対称手法 (ECDH) を使用してキーをインポートする](keys-import.md#keys-import-ecdh)メソッドを使用してアカウントにインポートします。 S3 Physical Key Exchange は、TDES キーアルゴリズムと AES キーアルゴリズムの両方で KEK (キー使用状況 K1) キーまたは BDK (キー使用状況 B0) キーのインポートをサポートしています。

次の図は、end-to-endの物理キー交換プロセスを示しています。

![物理キー交換プロセスフロー](http://docs.aws.amazon.com/ja_jp/payment-cryptography/latest/userguide/images/physical-key-exchange.png)


1. **開始** – サポートチケットを送信するか、アカウントマネージャーと協力してリクエストを送信します。

1. **顧客セットアップ** – AWS Payment Cryptography には、以下の前提条件ステップを完了するための CloudFormation テンプレートが用意されています。
   +  AWS Payment Cryptography アカウント内に ECC P521 キーペアを作成し、パブリックキー証明書を取得します。
   +  AWS Payment Cryptography サービスプリンシパルに読み取り/書き込みアクセスを許可するポリシーを使用して Amazon S3 バケットを作成します。
   + ECC パブリック証明書と署名ルート CA を Amazon S3 バケットに保存します。
   + キー属性として、キーの使用方法、キーの使用方法、送信する紙のキーコンポーネントの数を指定します。

1. **共有 S3 バケット名** – お客様は CloudFormation スタックによって作成された S3 バケット名を共有します。ここでは、パブリックキー証明書、証明書チェーン、およびキー属性が AWS Payment Cryptography に保存され、キー交換が開始されます。

1. **配送の調整** – AWS Payment Cryptography は、米国を拠点とする安全な施設の配送の詳細を提供します。ユーザーまたはパートナーは、キーカストディアンに紙 AWS のキーコンポーネントを出荷します。

1. **コンポーネント受信** – AWS キー管理者は各紙コンポーネントを受け取り、コンポーネントごとに個別の確認を送信します。

1. **キーセレモニー** – AWS キー管理者は、オフライン HSM を使用してキーセレモニーを実行します。ECDH から派生した AES-256 キー、オフライン HSM の ECC パブリック証明書、およびその署名証明書を使用してラップされた TR-31 キーブロックは、Amazon S3 バケットにアップロードされます。

1. **Completion** – AWS Payment Cryptography は、キーセレモニーが完了したことの確認を送信します。その後、 [非対称手法 (ECDH) を使用してキーをインポートする](keys-import.md#keys-import-ecdh)メソッドを使用して、ECDH ラップされた TR-31 キーブロックを AWS Payment Cryptography アカウントにインポートできます。

1. **請求** – キーセレモニーが正常に完了すると、交換されたキーごとに請求されます。

## セキュリティとコンプライアンス
<a name="pke-security"></a>

Physical Key Exchange は、PCI PIN および PCI P2PE の物理的および論理的なセキュリティ要件を満たすように設計された AWS 安全な施設で動作します。以下のコントロールが設定されています。

職務のデュアルコントロールと分離  
AWS キーカストディアンは、個別のレポート構造を持つ異なるチームから割り当てられます。キーセレモニーのステップがデュアルコントロールで実行されるようにするプロセスが導入されています。

オフライン HSM  
キーセレモニーは、ネットワーク接続なしでオフラインで動作する認定 PCI PTS HSM に登録されたハードウェアセキュリティモジュールを使用して実行されます。キーが HSM 境界外のクリアテキストに存在することはありません。

暗号化キーの配信  
キーマテリアルは、ECDH ベースのキー交換を使用してオフライン HSM から AWS Payment Cryptography アカウントに転送され、end-to-endの暗号化保護が確保されます。

監査とコンプライアンス  
AWS には、PCI PIN および P2PE 認証について定期的に評価される、該当するコンプライアンス要件を満たすプロセスが用意されています。独自の PCI 評価で参照しているレポートについては、 AWS Artifact のコンプライアンスパッケージを確認してください。