View a markdown version of this page

물리적 키 교환 - AWS 결제 암호화
물리적 키 교환 작동 방식보안 및 규정 준수

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

물리적 키 교환

파트너 또는 공급업체가 전자 키 교환을 지원하지 않는 경우 물리적 키 교환을 사용하여 종이 기반 암호화 키 구성 요소를 전자 형식으로 안전하게 변환할 수 있습니다. 훈련된 AWS 키 관리자는 PCI PIN 및 P2PE 인증 AWS 운영 보안 시설에서 키 의식을 수행하여 오프라인 HSM을 사용하여 종이 키 구성 요소를 전자 형식으로 변환합니다. 이 서비스는 ECDH 기반 키 교환을 사용하여 ECDH로 래핑된 TR-31 키 블록을 전송합니다.이 블록은 AWS Payment Cryptography 계정으로 직접 가져옵니다.

참고

키 가져오기 및 내보내기 가능하면 표준 기반를 사용하는 것이 좋습니다. 파트너 또는 공급업체가 ANSI X9.24 TR-34, RSA 래핑/언래핑 또는 ECDH와 같은 전자 키 교환 방법을 지원하지 않는 경우에만 물리적 키 교환을 사용합니다.

물리적 키 교환 작동 방식

종이 키 교환을 시작하기 위해 CloudFormation 템플릿은 계정에 ECC 키 페어와 S3 버킷을 생성하는 등 사전 조건 설정을 안내합니다. 그런 다음 사용자 또는 파트너가 종이 키 구성 요소를 AWS 보안 시설로 배송합니다. 여기서 훈련된 AWS 키 관리인이 오프라인 HSM을 사용하여 키 의식을 수행합니다. 출력은 S3 버킷에 업로드된 ECDH 래핑 TR-31 키 블록으로, 비대칭 기법(ECDH)을 사용하여 키 가져오기 메서드를 사용하여 계정으로 가져옵니다. 물리적 키 교환은 TDES 및 AES 키 알고리즘 모두에서 KEK(키 사용 K1) 또는 BDK(키 사용 B0) 키 가져오기를 지원합니다.

다음 다이어그램은 end-to-end 물리적 키 교환 프로세스를 보여줍니다.

물리적 키 교환 프로세스 흐름

  1. 시작 - 지원 티켓을 제출하거나 계정 관리자와 협력하여 요청을 제출합니다.

  2. 고객 설정 - AWS 결제 암호화는 다음 사전 조건 단계를 완료할 수 있는 CloudFormation 템플릿을 제공합니다.

    • AWS Payment Cryptography 계정 내에 ECC P521 키 페어를 생성하고 퍼블릭 키 인증서를 검색합니다.

    • AWS Payment Cryptography 서비스 보안 주체에게 읽기/쓰기 액세스 권한을 부여하는 정책을 사용하여 Amazon S3 버킷을 생성합니다.

    • ECC 퍼블릭 인증서와 서명 루트 CA를 Amazon S3 버킷에 저장합니다.

    • 키 사용, 키 사용 모드, 전송할 종이 키 구성 요소 수와 같은 주요 속성을 제공합니다.

  3. S3 버킷 이름 공유 - 고객은 CloudFormation 스택에서 생성한 S3 버킷 이름을 공유합니다. 여기서 퍼블릭 키 인증서, 인증서 체인 및 키 속성은 AWS Payment Cryptography에 저장되어 키 교환을 시작합니다.

  4. 배송 조정 - AWS Payment Cryptography는 미국 기반 보안 시설에 대한 배송 세부 정보를 제공합니다. 사용자 또는 파트너가 종이 키 구성 요소를 AWS 키 관리자에게 배송합니다.

  5. 구성 요소 수신 - AWS 키 관리자는 각 종이 구성 요소를 수신하고 각 구성 요소에 대해 별도의 승인을 보냅니다.

  6. 키 세레모니 - AWS 키 관리인은 오프라인 HSM을 사용하여 키 세레모니를 수행합니다. ECDH에서 파생된 AES-256 키, 오프라인 HSM의 ECC 퍼블릭 인증서 및 서명 인증서를 사용하여 래핑된 결과 TR-31 키 블록은 Amazon S3 버킷에 업로드됩니다.

  7. 완료 - AWS 결제 암호화는 키 의식이 완료되었다는 확인을 보냅니다. 그런 다음 비대칭 기법(ECDH)을 사용하여 키 가져오기 메서드를 사용하여 ECDH 래핑 TR-31 키 블록을 AWS Payment Cryptography 계정으로 가져올 수 있습니다.

  8. 결제 - 키 행사가 성공적으로 완료되면 교환되는 키당 요금이 청구됩니다.

보안 및 규정 준수

물리적 키 교환은 PCI PIN 및 PCI P2PE 물리적 및 논리적 보안 요구 사항을 충족하도록 설계된 AWS 보안 시설에서 작동합니다. 다음과 같은 제어가 마련되어 있습니다.

이중 제어 및 업무 분리

AWS 키 관리인은 별도의 보고 구조를 가진 여러 팀에서 할당됩니다. 이중 제어 하에서 키 세리모니 단계가 수행되도록 하는 프로세스가 마련되어 있습니다.

오프라인 HSM

주요 의식은 네트워크 연결 없이 오프라인으로 작동하는 인증된 PCI PTS HSM 등록 하드웨어 보안 모듈을 사용하여 수행됩니다. 키는 HSM 경계 외부의 일반 텍스트에 존재하지 않습니다.

암호화 키 전송

키 구성 요소는 ECDH 기반 키 교환을 사용하여 오프라인 HSM에서 AWS Payment Cryptography 계정으로 전송되어 end-to-end 암호화 보호를 보장합니다.

감사 및 규정 준수

AWS 에는 PCI PIN 및 P2PE 증명에 대해 정기적으로 평가되는 해당 규정 준수 요구 사항을 충족하는 프로세스가 있습니다. 아 AWS 티팩트의 규정 준수 패키지를 검토하여 자체 PCI 평가에서 참조한 보고서를 확인합니다.