翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 調達と支払いのファシリテーター
通常、アクワイアラー、PSPs、および Payment Facilator には、発行者とは異なる暗号化要件があります。一般的ユースケースには以下が含まれます。
**データ復号**
データ (特にパンデータ) は、支払いターミナルによって暗号化され、バックエンドによって復号化する必要がある場合があります。[データの復号](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_DecryptData.html)化とデータの暗号化は、TDES、AES、DUKPT 取得技術など、さまざまな方法をサポートしています。 AWS Payment Cryptography サービス自体も PCI P2PE に準拠しており、PCI P2PE 復号コンポーネントとして登録されています。
**TranslatePin**
PCI PIN への準拠を維持するために、取得するシステムには、安全なデバイスへの入力後にカード所有者ピンが明確に含まれないようにする必要があります。したがって、ターミナルからダウンストリームシステム (支払いネットワークや発行者など) にピンを渡すには、支払いターミナルが使用したキーとは異なるキーを使用してピンを再暗号化する必要があります。[Translate Pin](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_TranslatePinData.html) は、暗号化されたピンを servicebbb で 1 つのキーから別のキーに安全に変換することで、これを実現します。このコマンドを使用すると、TDES、AES、DUKPT 取得などのさまざまなスキームと、ISO-0, ISO-3ISO-4 などのピンブロック形式の間でピンを変換できます。
**VerifyMac**
支払いターミナルからのデータは、転送中にデータが変更されていないことを確認するために MAC によって指定される場合があります。[Mac ](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_VerifyMac.html)と GenerateMac が、ISOISO-9797-1 アルゴリズム ISO-9797-13 (小売 MAC)、CMAC 手法で使用する TDES、AES、DUKPT 導出手法など、対称キーを使用してさまざまな手法をサポートしていることを確認します。
**Topics**
+ [動的キーの使用](use-cases-acquirers-dynamickeys.md)
# 動的キーの使用
動的キーを使用すると、 などの暗号化オペレーションに 1 回限りまたは制限付き使用キーを使用できます`[EncryptData](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_EncryptData.html)`。このフローは、キーマテリアルが頻繁にローテーションし (すべてのカードトランザクションなど)、キーマテリアルをサービスにインポートしないようにしたい場合に使用できます。存続期間の短いキーは、[softPOS/Mpoc](terminology.md#terms.mpoc) またはその他のソリューションの一部として使用できます。
**注記**
これは、 AWS Payment Cryptography を使用する一般的なフローの代わりに使用できます。ここでは、暗号化キーが作成またはサービスにインポートされ、キーはキーエイリアスまたはキー ARN を使用して指定されます。
次のオペレーションは動的キーをサポートしています。
+ EncryptData
+ DecryptData
+ ReEncryptData
+ TranslatePin
## データの復号
次の例は、復号コマンドとともに動的キーを使用する方法を示しています。この場合のキー識別子は、復号キー (TR-31 形式のラップキーパラメータで提供される) を保護するラップキー (KEK) です。ラップされたキーは、復号コマンドとともに B または D の使用方法とともに使用する D0 の主要な目的とします。
**Example**
```
$ aws payment-cryptography-data decrypt-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/ov6icy4ryas4zcza --cipher-text 1234123412341234123412341234123A --decryption-attributes 'Symmetric={Mode=CBC,InitializationVector=1234123412341234}' --wrapped-key WrappedKeyMaterial={"Tr31KeyBlock"="D0112D0TN00E0000B05A6E82D7FC68B95C84306634B0000DA4701BE9BCA318B3A30A400B059FD4A8DE19924A9D3EE459F24FDE680F8E4A40"}
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ov6icy4ryas4zcza",
"KeyCheckValue": "0A3674",
"PlainText": "2E138A746A0032023BEF5B85BA5060BA"
}
```
## ピンの翻訳
次の例は、動的キーと変換ピンコマンドを使用して、動的キーから半静的アクワイアラー作業キー (AWK) に変換する方法を示しています。この場合の受信キー識別子は、TR-31 形式で提供される動的ピン暗号化キー (PEK) を保護するラッピングキー (KEK) です。ラップされたキーは、B または D の使用モード`P0`とともに の主要な目的とします。送信キー識別子は タイプのキー`TR31_P0_PIN_ENCRYPTION_KEY`であり、Encrypt=true、Wrap=true の使用モードです。
**Example**
```
$ aws payment-cryptography-data translate-pin-data --encrypted-pin-block "C7005A4C0FA23E02" --incoming-translation-attributes=IsoFormat0='{PrimaryAccountNumber=171234567890123}' --incoming-key-identifier alias/PARTNER1_KEK --outgoing-key-identifier alias/ACQUIRER_AWK_PEK --outgoing-translation-attributes IsoFormat0="{PrimaryAccountNumber=171234567890123}" --incoming-wrapped-key WrappedKeyMaterial={"Tr31KeyBlock"="D0112P0TB00S0000EB5D8E63076313162B04245C8CE351C956EA4A16CC32EB3FB61DE3FC75C751734B773F5B645943A854C65740738B8304"}
```
```
{
"PinBlock": "2E66192BDA390C6F",
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ov6icy4ryas4zcza",
"KeyCheckValue": "0A3674"
}
```