View a markdown version of this page

實體金鑰交換 - AWS 付款密碼編譯
實體金鑰交換的運作方式安全和合規

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

實體金鑰交換

當您的合作夥伴或廠商不支援電子金鑰交換時,您可以使用實體金鑰交換將紙質型密碼編譯金鑰元件安全地轉換為電子格式。受過訓練 AWS 的金鑰監管人員會在 PCI PIN 和 P2PE 認證的 AWS 操作安全設施中執行金鑰典禮,並使用離線 HSM 將紙質金鑰元件轉換為電子格式。此服務使用 ECDH 型金鑰交換來交付 ECDH 包裝的 TR-31 金鑰區塊,您可以直接匯入您的 AWS 付款密碼帳戶。

注意

我們建議您匯入和匯出金鑰盡可能使用標準型。只有在您的合作夥伴或廠商不支援 ANSI X9.24 TR-34RSA wrap/unwrapECDH 等電子金鑰交換方法時,才使用實體金鑰交換。

實體金鑰交換的運作方式

若要啟動紙質金鑰交換, CloudFormation 範本會引導您完成先決條件設定,包括在帳戶中建立 ECC 金鑰對和 S3 儲存貯體。然後,您或您的合作夥伴將紙質金鑰元件運送到 AWS 安全設施,其中受過訓練的 AWS 金鑰監管人員會使用離線 HSM 執行金鑰典禮。輸出是上傳至 S3 儲存貯體的 ECDH 包裝 TR-31 金鑰區塊,您可以使用 使用非對稱技術 (ECDH) 匯入金鑰方法將其匯入您的帳戶。實體金鑰交換支援在 TDES 和 AES 金鑰演算法中匯入 KEK (金鑰用量 K1) 或 BDK (金鑰用量 B0) 金鑰。

下圖顯示end-to-end實體金鑰交換程序。

實體金鑰交換程序流程

  1. 啟動 – 您提交支援票證或與您的客戶經理合作提交請求。

  2. 客戶設定 – AWS 付款密碼編譯提供 CloudFormation 範本,供您完成下列先決條件步驟:

    • 在您的 AWS 付款密碼帳戶中建立 ECC P521 金鑰對,並擷取公有金鑰憑證。

    • 使用授予 AWS 付款密碼編譯服務主體讀取/寫入存取權的政策建立 Amazon S3 儲存貯體。

    • 將 ECC 公有憑證和簽署根 CA 存放在 Amazon S3 儲存貯體中。

    • 提供金鑰屬性:金鑰用量、金鑰使用模式,以及要傳送的紙質金鑰元件數量。

  3. 共用 S3 儲存貯體名稱 – 客戶共用 CloudFormation 堆疊建立的 S3 儲存貯體名稱,其中存放公有金鑰憑證、憑證鏈和金鑰屬性,供 AWS 付款密碼編譯啟動金鑰交換。

  4. 運送協調 – AWS 付款密碼編譯提供美國安全設施的運送詳細資訊。您或您的合作夥伴將紙質金鑰元件運送到 AWS 金鑰託管人。

  5. 元件接收 – AWS 金鑰保管人會收到每個紙質元件,並為每個元件傳送單獨的確認。

  6. 金鑰典禮 – AWS 金鑰保管人會使用離線 HSM 執行金鑰典禮。產生的 TR-31 金鑰區塊,使用 ECDH 衍生的 AES-256 金鑰包裝,來自離線 HSM 的 ECC 公有憑證,及其簽署憑證會上傳至您的 Amazon S3 儲存貯體。

  7. 完成 – AWS 付款密碼編譯會傳送金鑰典禮已完成的確認。然後,您可以使用 使用非對稱技術 (ECDH) 匯入金鑰方法將 ECDH 包裝的 TR-31 金鑰區塊匯入您的 AWS 付款密碼帳戶。

  8. 帳單 – 成功完成金鑰典禮後,每個交換的金鑰都會向您收費。

安全和合規

實體金鑰交換在設計為符合 PCI PIN 和 PCI P2PE 實體和邏輯安全要求 AWS 的安全設施中運作。有下列控制項:

雙重控制和職責分離

AWS 金鑰託管人是由具有不同報告結構的不同團隊指派。已制定程序,以確保在雙重控制下執行重要典禮步驟。

離線 HSM

金鑰典禮是使用經認證的 PCI PTS HSM 列出的硬體安全模組來執行,這些模組可在沒有網路連線的情況下離線操作。您的金鑰永遠不會存在於 HSM 界限之外的純文字中。

密碼編譯金鑰交付

金鑰材料會使用以 ECDH 為基礎的金鑰交換,從離線 HSM 傳輸到您的 AWS 付款密碼帳戶,以確保end-to-end密碼編譯保護。

稽核與合規

AWS 已制定程序,以滿足針對 PCI PIN 和 P2PE 認證定期評估的適用合規要求。檢閱 AWS Artifact 中的合規套件,以取得您在自己的 PCI 評估中參考的報告。