本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 了解 AWS 支付密码学密钥的关键属性
<a name="keys-validattributes"></a>

正确管理密钥的原则是，密钥的范围必须适当，并且只能用于允许的操作。因此，某些密钥只能在特定密钥使用模式下创建。只要有可能，这就会与所[TR-31](terminology.md#terms.tr31)定义的可用使用模式保持一致。

 尽管 AWS 支付密码学可以防止您创建无效密钥，但为了方便起见，此处提供了有效的密钥组合。

## 对称密钥
<a name="w2aac12c39b7"></a>
+ TR31\_B0\_BASE\_DERIVATION\_KEY
  + **允许的密钥算法**：TDES\_2KEY ,TDES\_3KEY ,AES\_128 ,AES\_192 ,AES\_256
  + **允许的按键使用模式组合**：{ DeriveKey = true}、{ NoRestrictions = true}
+ TR31\_C0\_CARD\_VERIFICATION\_KEY
  + **允许的密钥算法**：TDES\_2KEY、TDES\_3KEY、AES\_128\*、AES\_192\*、AES\_256\*
  + **允许的密钥使用模式组合**：{生成 = true}、{Verify = true}、{Generate = true、Verify= true}、{= true}、{ NoRestrictions = true}
+ TR31\_D0\_SYMMETRIC\_DATA\_ENCRYPTION\_KEY
  + **允许的密钥算法**：TDES\_2KEY ,TDES\_3KEY ,AES\_128 ,AES\_192 ,AES\_256
  + **允许的密钥使用模式组合**：{Encrypt = true、Decrypt = true、Wrap = true、Unwrap = true}、{encrypt = true、Unwrap = true}、{= true}、{= true} NoRestrictions 
+ TR31\_E0\_EMV\_MKEY\_APP\_CRYPTOGRAMS
  + **允许的密钥算法**：TDES\_2KEY、TDES\_3KEY\*、AES\_128\*、AES\_192\*、AES\_256\*
  + **允许的按键使用模式组合**：{ DeriveKey = true}、{ NoRestrictions = true}
+ TR31\_E1\_EMV\_MKEY\_CONFIDENTIALITY
  + **允许的密钥算法**：TDES\_2KEY、TDES\_3KEY、AES\_128\*、AES\_192\*、AES\_256\*
  + **允许的按键使用模式组合**：{ DeriveKey = true}、{ NoRestrictions = true}
+ TR31\_E2\_EMV\_MKEY\_INTEGRITY
  + **允许的密钥算法**：TDES\_2KEY、TDES\_3KEY、AES\_128\*、AES\_192\*、AES\_256\*
  + **允许的按键使用模式组合**：{ DeriveKey = true}、{ NoRestrictions = true}
+ TR31\_E4\_EMV\_MKEY\_DYNAMIC\_NUMBERS
  + **允许的密钥算法**：TDES\_2KEY、TDES\_3KEY、AES\_128\*、AES\_192\*、AES\_256\*
  + **允许的按键使用模式组合**：{ DeriveKey = true}、{ NoRestrictions = true}
+ TR31\_E5\_EMV\_MKEY\_CARD\_PERSONALIZATION
  + **允许的密钥算法**：TDES\_2KEY、TDES\_3KEY、AES\_128\*、AES\_192\*、AES\_256\*
  + **允许的按键使用模式组合**：{ DeriveKey = true}、{ NoRestrictions = true}
+ TR31\_E6\_EMV\_MKEY\_OTHER
  + **允许的密钥算法**：TDES\_2KEY、TDES\_3KEY、AES\_128\*、AES\_192\*、AES\_256\*
  + **允许的按键使用模式组合**：{ DeriveKey = true}、{ NoRestrictions = true}
+ TR31\_K0\_KEY\_ENCRYPTION\_KEY
  + 建议使用 TR31\_K1\_KEY\_BLOCK\_PROTECTION\_KEY。**允许的密钥算法**：TDES\_2KEY ,TDES\_3KEY ,AES\_128 ,AES\_192 ,AES\_256
  + **允许的密钥使用模式组合**：{Encrypt = true、Decrypt = true、Wrap = true、Unwrap = true}、{encrypt = true、Unwrap = true}、{= true}、{= true} NoRestrictions 
+ TR31\_K1\_KEY\_BLOCK\_PROTECTION\_KEY
  + **允许的密钥算法**：TDES\_2KEY ,TDES\_3KEY ,AES\_128 ,AES\_192 ,AES\_256
  + **允许的密钥使用模式组合**：{Encrypt = true、Decrypt = true、Wrap = true、Unwrap = true}、{encrypt = true、Unwrap = true}、{= true}、{= true} NoRestrictions 
+ TR31\_M1\_ISO\_9797\_1\_MAC\_KEY
  + **允许的密钥算法**：TDES\_2KEY、TDES\_3KEY
  + **允许的密钥使用模式组合**：{生成 = true}、{Verify = true}、{Generate = true、Verify= true}、{= true}、{ NoRestrictions = true}
+ TR31\_M3\_ISO\_9797\_3\_MAC\_KEY
  + **允许的密钥算法**：TDES\_2KEY、TDES\_3KEY
  + **允许的密钥使用模式组合**：{生成 = true}、{Verify = true}、{Generate = true、Verify= true}、{= true}、{ NoRestrictions = true}
+ TR31\_M6\_ISO\_9797\_5\_CMAC\_KEY
  + **允许的密钥算法**：TDES\_2KEY ,TDES\_3KEY ,AES\_128 ,AES\_192 ,AES\_256
  + **允许的密钥使用模式组合**：{生成 = true}、{Verify = true}、{Generate = true、Verify= true}、{= true}、{ NoRestrictions = true}
+ TR31\_M7\_HMAC\_KEY
  + **允许的密钥算法**：TDES\_2KEY ,TDES\_3KEY ,AES\_128 ,AES\_192 ,AES\_256
  + **允许的密钥使用模式组合**：{生成 = true}、{Verify = true}、{Generate = true、Verify= true}、{= true}、{ NoRestrictions = true}
+ TR31\_P0\_PIN\_ENCRYPTION\_KEY
  + **允许的密钥算法**：TDES\_2KEY ,TDES\_3KEY ,AES\_128 ,AES\_192 ,AES\_256
  + **允许的密钥使用模式组合**：{Encrypt = true、Decrypt = true、Wrap = true、Unwrap = true}、{encrypt = true、Unwrap = true}、{= true}、{= true} NoRestrictions 
+ TR31\_V1\_IBM3624\_PIN\_VERIFICATION\_KEY
  + **允许的密钥算法**：TDES\_2KEY ,TDES\_3KEY ,AES\_128 ,AES\_192 ,AES\_256
  + **允许的密钥使用模式组合**：{生成 = true}、{Verify = true}、{Generate = true、Verify= true}、{= true}、{ NoRestrictions = true}
+ TR31\_V2\_VISA\_PIN\_VERIFICATION\_KEY
  + **允许的密钥算法**：TDES\_2KEY ,TDES\_3KEY ,AES\_128 ,AES\_192 ,AES\_256
  + **允许的密钥使用模式组合**：{生成 = true}、{Verify = true}、{Generate = true、Verify= true}、{= true}、{ NoRestrictions = true}

## 非对称密钥
<a name="w2aac12c39b9"></a>
+ TR31\_D1\_ASYMMETRIC\_KEY\_FOR\_DATA\_ENCRYPTION
  + **允许的密钥算法**：RSA\_2048 ,RSA\_3072 ,RSA\_4096
  + **允许的密钥使用模式组合**：{ Encrypt = true, Decrypt = true, Wrap = true, Unwrap = true } ,{ Encrypt = true, Wrap = true } ,{ Decrypt = true, Unwrap = true }
  + **注意：:** {encrypt = true，Wrap = true} 是导入用于加密数据或封装密钥的公钥时唯一有效的选项
+ TR31\_S0\_ASYMMETRIC\_KEY\_FOR\_DIGITAL\_SIGNATURE
  + **允许的密钥算法**：RSA\_2048 ,RSA\_3072 ,RSA\_4096
  + **允许的按键使用模式组合**：{Sign = true}、{Verify = true}
  + **注意：：**在导入用于签名的密钥（例如根证书、中间证书或签名证书）时，{Verify = true} 是唯一有效的选项 TR-34。
+ TR31\_K3\_ASYMMETRIC\_KEY\_FOR\_KEY\_ACTREMENT
  + 用于密钥协议算法，例如 ECDH
  + **允许的密钥算法**：ECC\_NIST\_P256、ECC\_NIST\_P384、ECC\_NIST\_P521
  + **允许的按键使用模式组合**：{ DeriveKey = true}。
  + **注意：**DeriveKeyUsage 用于指定将从该基本密钥派生出哪种密钥。这是在关键时刻修复 creation/import的。
+ TR31\_K2\_TR34\_ASYMMETRIC\_KEY
  + 用于 X9.24 兼容密钥交换机制的非对称密钥，例如 TR-34
  + **允许的密钥算法**：RSA\_2048、RSA\_3072、RSA\_4096
  + **允许的按键使用模式组合**：{ DeriveKey = true}。
  + **允许的密钥使用模式组合**：{ Encrypt = true, Decrypt = true, Wrap = true, Unwrap = true } ,{ Encrypt = true, Wrap = true } ,{ Decrypt = true, Unwrap = true }
  + **注意：:** {encrypt = true，Wrap = true} 是导入用于加密数据或封装密钥的公钥时唯一有效的选项

\* 目前任何加密操作都不支持这种 algorithm/key 类型组合