Schlüsselextraktion mit JCE for AWS CloudHSM - AWS CloudHSM

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schlüsselextraktion mit JCE for AWS CloudHSM

Die Java Cryptography Extension (JCE) verwendet eine Architektur, mit der verschiedene Kryptografie-Implementierungen integriert werden können. AWS CloudHSM liefert einen solchen JCE Anbieter aus, der kryptografische Operationen an den auslagert. HSM Damit die meisten anderen JCE Anbieter mit in der AWS Cloud gespeicherten Schlüsseln arbeiten könnenHSM, müssen sie die Schlüsselbytes von Ihnen HSMs im Klartext in den Speicher Ihres Computers extrahieren, damit sie sie verwenden können. HSMsErlauben normalerweise nur das Extrahieren von Schlüsseln als verpackte Objekte, nicht als Klartext. Um Anwendungsfälle der anbieterübergreifenden Integration zu unterstützen, ist jedoch eine optionale Konfigurationsoption möglich, mit der die Extraktion der Schlüsselbytes im Klartext AWS CloudHSM ermöglicht wird.

Wichtig

JCEverlagert Operationen AWS CloudHSM immer dann, wenn der AWS HSM Cloud-Anbieter angegeben oder ein AWS CloudHSM Schlüsselobjekt verwendet wird. Sie müssen Schlüssel nicht im Klartext extrahieren, wenn Sie erwarten, dass Ihr Vorgang innerhalb von stattfindet. HSM Die Schlüsselextraktion im Klartext ist nur erforderlich, wenn Ihre Anwendung aufgrund von Einschränkungen durch eine Bibliothek oder einen JCE Drittanbieter keine sicheren Mechanismen wie das Ein- und Auspacken eines Schlüssels verwenden kann.

Der AWS CloudHSM JCE Anbieter ermöglicht standardmäßig das Extrahieren von öffentlichen Schlüsseln, sodass es mit externen JCE Anbietern funktioniert. Die folgenden Methoden sind immer zulässig:

Klasse Methode Format (getEncoded)
EcPublicKey getEncoded() X.509
getW() N/A
RSAPublicKey getEncoded() X.509
getPublicExponent() N/A
CloudHsmRsaPrivateCrtKey getPublicExponent() N/A

Der AWS CloudHSM JCE Anbieter erlaubt standardmäßig keine Extraktion von Schlüsselbytes im Klartext für private oder geheime Schlüssel. Wenn Ihr Anwendungsfall dies erfordert, können Sie die Extraktion von Schlüsselbytes im Klartext für private oder geheime Schlüssel unter den folgenden Bedingungen aktivieren:

  1. Das EXTRACTABLE-Attribut für private und geheime Schlüssel ist auf true gesetzt.

    • Standardmäßig ist das EXTRACTABLE Attribut für private und geheime Schlüssel auf true gesetzt. EXTRACTABLESchlüssel sind Schlüssel, die aus dem exportiert werden dürfenHSM. Weitere Informationen finden Sie unter Unterstützte Java-Attribute für Client SDK 5.

  2. Das WRAP_WITH_TRUSTED-Attribut für private und geheime Schlüssel ist auf falsch gesetzt.

    • getEncodedgetPrivateExponent, und getS kann nicht mit privaten Schlüsseln verwendet werden, die nicht in Clear exportiert werden können. WRAP_WITH_TRUSTEDerlaubt nicht, dass Ihre privaten Schlüssel aus dem HSM Clear exportiert werden. Weitere Informationen finden Sie unter Verwenden vertrauenswürdiger Schlüssel zur Steuerung des Entpackens von Schlüsseln.