View a markdown version of this page

Troca física de chaves - AWS Criptografia de pagamento
Como funciona a troca física de chavesSegurança e conformidade

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Troca física de chaves

Você pode usar o Physical Key Exchange para converter com segurança os componentes da chave criptográfica em papel em formato eletrônico quando seus parceiros ou fornecedores não oferecem suporte à troca eletrônica de chaves. Depositários de AWS chaves treinados realizam cerimônias de chaves em AWS-operated instalações seguras com certificação PCI PIN e P2PE, convertendo os componentes da chave em papel em formato eletrônico usando um HSM off-line. O serviço usa a troca de ECDH-based chaves para fornecer um bloco de ECDH-wrapped TR-31 chaves, que você importa diretamente para sua conta AWS de criptografia de pagamento.

nota

Recomendamos o uso baseado em padrões sempre Importação e exportação de chaves que possível. Use o Physical Key Exchange somente quando seus parceiros ou fornecedores não oferecem suporte a métodos eletrônicos de troca de chaves, como ANSI X9.24 TR-34, RSA wrap/unwrap ou ECDH.

Como funciona a troca física de chaves

Para iniciar a troca de chaves em papel, um CloudFormation modelo orienta você na configuração de pré-requisitos, incluindo a criação de um par de chaves ECC e um bucket S3 em sua conta. Em seguida, você ou seu parceiro enviam os componentes-chave em papel para a instalação AWS segura, onde guardiões treinados AWS realizam a cerimônia da chave usando um HSM off-line. A saída é um bloco de ECDH-wrapped TR-31 chaves carregado em seu bucket do S3, que você importa para sua conta usando o Importe chaves usando técnicas assimétricas (ECDH) método. O Physical Key Exchange suporta a importação de chaves KEK (uso da chave K1) ou BDK (uso da chave B0) nos algoritmos de chave TDES e AES.

O diagrama a seguir mostra o processo de troca de chaves físicas de ponta a ponta.

Fluxo físico do processo de troca de chaves

  1. Iniciação — Você envia um ticket de suporte ou trabalha com seu gerente de conta para enviar uma solicitação.

  2. Configuração do cliente — A criptografia de AWS pagamento fornece um CloudFormation modelo para você concluir as seguintes etapas de pré-requisito:

    • Crie um par de chaves ECC P521 em sua conta de criptografia de AWS pagamento e recupere o certificado de chave pública.

    • Crie um bucket do Amazon S3 com uma política que conceda acesso principal ao serviço AWS de criptografia de pagamento. read/write

    • Armazene o certificado público ECC e a CA raiz de assinatura no bucket do Amazon S3.

    • Forneça os principais atributos: uso da chave, principais modos de uso e número de componentes da chave em papel a serem enviados.

  3. Compartilhar nome do bucket S3 — O cliente compartilha o nome do bucket S3 criado pela CloudFormation pilha, onde o certificado de chave pública, a cadeia de certificados e os atributos principais são armazenados para que a criptografia de AWS pagamento inicie a troca de chaves.

  4. Coordenação de envio — A criptografia de AWS pagamento fornece detalhes de envio para a instalação US-based segura. Você ou seu parceiro enviam os principais componentes em papel para os AWS principais custodiantes.

  5. Recebimento do componente — os AWS principais depositários recebem cada componente de papel e enviam uma confirmação separada para cada componente.

  6. Cerimônia principal — os guardiões das AWS chaves realizam a cerimônia principal usando um HSM off-line. O bloco de TR-31 chaves resultante, agrupado usando uma ECDH-derived AES-256 chave, o certificado público ECC do HSM off-line e seu certificado de assinatura são enviados para seu bucket do Amazon S3.

  7. Conclusão — A criptografia de AWS pagamento envia uma confirmação de que a cerimônia da chave foi concluída. Em seguida, você pode importar o bloco de TR-31 chaves embrulhado em ECDH para sua conta AWS de criptografia de pagamento usando o método. Importe chaves usando técnicas assimétricas (ECDH)

  8. Cobrança — Você é cobrado por chave trocada após a conclusão bem-sucedida da cerimônia da chave.

Segurança e conformidade

O Physical Key Exchange opera em instalações AWS seguras projetadas para atender aos requisitos de segurança física e lógica do PCI PIN e do PCI P2PE. Os seguintes controles estão em vigor:

Controle duplo e separação de funções

AWS os principais guardiões são designados por equipes diferentes com estruturas de relatórios separadas. Existem processos para garantir que as principais etapas das cerimônias sejam realizadas sob controle duplo.

HSM off-line

As principais cerimônias são realizadas usando módulos de segurança de HSM-listed hardware PCI PTS certificados que operam offline sem conectividade de rede. Sua chave nunca existe em texto não criptografado fora dos limites do HSM.

Entrega de chaves criptográficas

O material chave é transferido do HSM off-line para sua conta de criptografia AWS de pagamento usando a troca de ECDH-based chaves, garantindo proteção criptográfica de ponta a ponta.

Auditoria e conformidade

AWS tem processos implementados para atender aos requisitos de conformidade aplicáveis que são avaliados periodicamente para atestados PCI PIN e P2PE. Revise o pacote de conformidade no AWS Artifact para obter relatórios que você tenha como referência em suas próprias avaliações de PCI.