View a markdown version of this page

PIN 変更用の EMV MAC の生成 - AWS Payment Cryptography
PIN 変更のために EMV MAC と暗号化された PIN を生成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

PIN 変更用の EMV MAC の生成

EMV PIN の変更には、発行者スクリプトの MAC の生成と、EMV チップカードでのオフライン PIN 変更の新しい PIN の暗号化という 2 つのオペレーションが組み合わされます。このコマンドは、ピンがチップカードに保存されている特定の国でのみ必要です (これは欧州の国で一般的です)。これは一般的に、カード所有者が PIN を変更する必要があり、新しい PIN を MAC と一緒にカードに安全に送信してコマンドの信頼性を確認する必要がある場合に使用されます。

注記

カードにコマンドを送信するだけで PIN を変更しない場合は、ARPC CSU を使用するか、代わりに EMV MAC コマンドを生成することを検討してください。

詳細については、 API ガイドのGenerateMacEmvPinChange」を参照してください。

PIN 変更のために EMV MAC と暗号化された PIN を生成する

このオペレーションには、MAC 生成用の EMV 整合性キー (KeyUsage: TR31_E2_EMV_MKEY_INTEGRITY) と PIN 暗号化用の EMV 機密性キー (KeyUsage: TR31_E4_EMV_MKEY_CONFIDENTIALITY) の 2 つのキーが必要です。一般的なフローは、バックエンドプロセスが発行者スクリプトの MAC と暗号化された新しい PIN の両方を含む EMV PIN 変更スクリプトを生成することです。その後、コマンドと暗号化された PIN がカードに送信され、オフライン PIN が更新されます。コマンドをカードに送信することは AWS Payment Cryptography の範囲外です。

メッセージデータ

メッセージデータには、発行者スクリプトの APDU コマンドが含まれます。サービスはこのフィールドの内容を検証しません。

新しい暗号化された PIN ブロック

カードに送信される新しい暗号化された PIN ブロック。これは、PIN 暗号化キーを使用して暗号化された値として提供する必要があります。

新しい PIN PEK 識別子

この API に渡される前に新しい PIN を暗号化するために使用されるキー。

Secure Messaging Integrity キー

MAC 生成に使用される EMV 整合性キー (KeyUsage: TR31_E2_EMV_MKEY_INTEGRITY)。

Secure Messaging の機密性キー

PIN 暗号化に使用される EMV 機密性キー (KeyUsage: TR31_E4_EMV_MKEY_CONFIDENTIALITY)。

MajorKeyDerivationMode

EMV はモード A、B、または C を定義します。モード A が最も一般的であり、 AWS Payment Cryptography は現在モード A またはモード B をサポートしています。

モード

暗号化モード、通常は PIN 変更オペレーション用の CBC。

PAN

アカウント番号。通常はチップフィールド 5A または ISO8583 フィールド 2 で使用できますが、カードシステムから取得することもできます。

PanSequenceNumber

カードシーケンス番号。使用しない場合は、00 と入力します。

ApplicationCryptogram

これはセッションごとの取得データで、通常はフィールド 9F26 からの最後の ARQC です。

PinBlockLengthPosition

PIN ブロックの長さがエンコードされる場所を指定します。通常、NONE に設定されます。不明な場合は、カードスキームの仕様を確認してください。

PinBlockPaddingType

PIN ブロックのパディングタイプを指定します。通常、NO_PADDING に設定されます。不明な場合は、カードスキームの仕様を確認してください。

$ aws payment-cryptography-data generate-mac-emv-pin-change \
    --message-data 00A4040008A000000004101080D80500000001010A04000000000000 \
    --new-encrypted-pin-block 67FB27C75580EFE7 \
    --new-pin-pek-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt \
    --pin-block-format ISO_FORMAT_0 \
    --secure-messaging-confidentiality-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/tqv5yij6wtxx64pi \
    --secure-messaging-integrity-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk \
    --derivation-method-attributes 'EmvCommon={ApplicationCryptogram=1234567890123457,MajorKeyDerivationMode=EMV_OPTION_A,Mode=CBC,PanSequenceNumber=00,PinBlockLengthPosition=NONE,PinBlockPaddingType=NO_PADDING,PrimaryAccountNumber=171234567890123}'
{
    "SecureMessagingIntegrityKeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk",
    "SecureMessagingIntegrityKeyCheckValue": "08D7B4",
    "SecureMessagingConfidentialityKeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/tqv5yij6wtxx64pi",
    "SecureMessagingConfidentialityKeyCheckValue": "C1EB8F",
    "Mac": "5652EEDF83EA0D84",
    "EncryptedPinBlock": "F1A2B3C4D5E6F7A8"
}