Unterstützte Mechanismen für Client SDK 3 für AWS CloudHSM Client SDK 3 - AWS CloudHSM
Unterstützte SchlüsselUnterstützte VerschlüsselungenUnterstützte DigestsUnterstützte Hash-basierte Algorithmen zur Nachrichtenauthentifizierung () HMACUnterstützte Signatur/Prüf-MechanismenAnmerkungen zum Mechanismus

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Unterstützte Mechanismen für Client SDK 3 für AWS CloudHSM Client SDK 3

Dieses Thema enthält Informationen zu den unterstützten Mechanismen für JCE Provider mit AWS CloudHSM Client SDK 3. Informationen zu den Java Cryptography Architecture (JCA) -Schnittstellen und Engine-Klassen, die von unterstützt werden AWS CloudHSM, finden Sie in den folgenden Themen.

Unterstützte Schlüssel

Mit der AWS CloudHSM Softwarebibliothek für Java können Sie die folgenden Schlüsseltypen generieren.

  • AES— 128-, 192- und 256-Bit-SchlüsselAES.

  • DESede— DES 92-Bit-3-Taste. Eine bevorstehende Änderung finden Sie im Hinweis 1 unten.

  • ECCSchlüsselpaare für die NIST Kurven secp256r1 (P-256), secp384r1 (P-384) und secp256k1 (Blockchain).

  • RSA— RSA 2048-Bit- bis 4096-Bit-Schlüssel, in Schritten von 256 Bit.

Zusätzlich zu den Standardparametern unterstützen wir die folgenden Parameter für die einzelnen generierten Schlüssel.

  • Label: Eine Schlüsselbezeichnung anhand der Sie nach Schlüsseln suchen können.

  • isExtractable: Gibt an, ob der Schlüssel aus dem exportiert werden kann. HSM

  • isPersistent: Gibt an, ob der Schlüssel am Ende der aktuellen Sitzung aktiviert bleibt. HSM

Anmerkung

Die Java-Bibliothek Version 3.1 bietet die Möglichkeit, Parameter genauer zu spezifizieren. Weitere Informationen finden Sie unter Unterstützte Java-Attribute.

Unterstützte Verschlüsselungen

Die AWS CloudHSM Softwarebibliothek für Java unterstützt die folgenden Kombinationen aus Algorithmus, Modus und Auffüllung.

Algorithmus Mode Padding Hinweise
AES CBC

AES/CBC/NoPadding

AES/CBC/PKCS5Padding

Implementiert Cipher.ENCRYPT_MODE und Cipher.DECRYPT_MODE.
AES ECB

AES/ECB/NoPadding

AES/ECB/PKCS5Padding

 Implementiert Cipher.ENCRYPT_MODE und Cipher.DECRYPT_MODE. Verwenden Sie TransformationAES.
AES CTR

AES/CTR/NoPadding

Implementiert Cipher.ENCRYPT_MODE und Cipher.DECRYPT_MODE.
AES GCM AES/GCM/NoPadding

Implementiert Cipher.ENCRYPT_MODE und Cipher.DECRYPT_MODE, Cipher.WRAP_MODE und Cipher.UNWRAP_MODE.

Bei der AES GCM Verschlüsselung HSM ignoriert der den Initialisierungsvektor (IV) in der Anfrage und verwendet einen IV-Wert, den er generiert. Nach Abschluss der Operation müssen Sie Cipher.getIV() abrufen, um den IV zu erhalten.
AESWrap ECB

AESWrap/ECB/ZeroPadding

AESWrap/ECB/NoPadding

AESWrap/ECB/PKCS5Padding

Implementiert Cipher.WRAP_MODE und Cipher.UNWRAP_MODE. Verwenden Sie Transformation. AES
DESede(DreifachDES) CBC

DESede/CBC/NoPadding

DESede/CBC/PKCS5Padding

Implementiert Cipher.ENCRYPT_MODE und Cipher.DECRYPT_MODE.

Die Schlüsselerstellungsvorgänge akzeptieren die Größen 168 oder 192 Bits. Intern sind jedoch alle DESede Schlüssel 192 Bit groß.

Eine bevorstehende Änderung finden Sie im Hinweis 1 unten.
DESede(DreifachDES) ECB

DESede/ECB/NoPadding

DESede/ECB/PKCS5Padding

Implementiert Cipher.ENCRYPT_MODE und Cipher.DECRYPT_MODE.

Die Schlüsselerstellungsvorgänge akzeptieren die Größen 168 oder 192 Bits. Intern sind jedoch alle DESede Schlüssel 192 Bit groß.

Eine bevorstehende Änderung finden Sie im Hinweis 1 unten.
RSA ECB

RSA/ECB/NoPadding

RSA/ECB/PKCS1Padding

Implementiert Cipher.ENCRYPT_MODE und Cipher.DECRYPT_MODE.

Eine bevorstehende Änderung finden Sie im Hinweis 1 unten.
RSA ECB

RSA/ECB/OAEPPadding

RSA/ECB/OAEPWithSHA-1ANDMGF1Padding

RSA/ECB/OAEPWithSHA-224ANDMGF1Padding

RSA/ECB/OAEPWithSHA-256ANDMGF1Padding

RSA/ECB/OAEPWithSHA-384ANDMGF1Padding

RSA/ECB/OAEPWithSHA-512ANDMGF1Padding

Implementiert Cipher.ENCRYPT_MODE, Cipher.DECRYPT_MODE, Cipher.WRAP_MODE und Cipher.UNWRAP_MODE.

OAEPPadding ist OAEP mit den SHA-1 Padding-Typ.
RSAAESWrap ECB OAEPPADDING Implementiert Cipher.WRAP_Mode und Cipher.UNWRAP_MODE.

Unterstützte Digests

Die AWS CloudHSM Softwarebibliothek für Java unterstützt die folgenden Message Digests.

  • SHA-1

  • SHA-224

  • SHA-256

  • SHA-384

  • SHA-512

Anmerkung

Daten mit einer Länge von weniger als 16 KB werden auf der gehashtHSM, während größere Daten lokal in der Software gehasht werden.

Unterstützte Hash-basierte Algorithmen zur Nachrichtenauthentifizierung () HMAC

Die AWS CloudHSM Softwarebibliothek für Java unterstützt die folgenden HMAC Algorithmen.

  • HmacSHA1

  • HmacSHA224

  • HmacSHA256

  • HmacSHA384

  • HmacSHA512

Unterstützte Signatur/Prüf-Mechanismen

Die AWS CloudHSM Softwarebibliothek für Java unterstützt die folgenden Arten der Signatur und Überprüfung.

RSAArten von Signaturen

  • NONEwithRSA

  • SHA1withRSA

  • SHA224withRSA

  • SHA256withRSA

  • SHA384withRSA

  • SHA512withRSA

  • SHA1withRSA/PSS

  • SHA224withRSA/PSS

  • SHA256withRSA/PSS

  • SHA384withRSA/PSS

  • SHA512withRSA/PSS

ECDSAArten von Signaturen

  • NONEwithECDSA

  • SHA1withECDSA

  • SHA224withECDSA

  • SHA256withECDSA

  • SHA384withECDSA

  • SHA512withECDSA

Anmerkungen zum Mechanismus

[1] Gemäß den NIST Leitlinien ist dies für Cluster, die sich nach 2023 im FIPS Modus befinden, nicht zulässig. Für Cluster, die sich nicht im FIPS Modus befinden, ist dies auch nach 2023 zulässig. Details dazu finden Sie unter FIPS-140-Konformität: Mechanismus 2024 nicht mehr unterstützt.