Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS CloudHSM Referenz zu einem Schlüsselattribut für KMU
Die AWS CloudHSM key_mgmt_util-Befehle verwenden Konstanten, um die Attribute von Schlüsseln in einem Hardware-Sicherheitsmodul () darzustellen. HSM Dieses Thema kann Ihnen helfen, die Attribute zu identifizieren, die Konstanten zu finden, die sie in Befehlen darstellen, und deren Werte zu verstehen.
Sie legen die Attribute eines Schlüssels fest, wenn Sie ihn erstellen. Um das Token-Attribut zu ändern, das angibt, ob ein Schlüssel persistent ist oder nur in der Sitzung existiert, verwenden Sie den Befehl in key_mgmt_util. setAttribute Um die Attribute label, wrap, unwrap, encrypt oder decrypt zu ändern, verwenden Sie den setAttribute-Befehl in cloudhsm_mgmt_util.
Um eine Liste von Attributen und ihren Konstanten zu erhalten, verwenden Sie. listAttributes Um die Attributwerte für einen Schlüssel abzurufen, verwenden Sie getAttribute.
In der folgenden Tabelle finden Sie die Schlüsselattribute, ihre Konstanten und ihre gültige Werte.
| Attribut | Konstante | Werte |
|---|---|---|
| OBJ_ATTR_ALL |
512 |
Repräsentiert alle Attribute. |
| OBJ_ATTR_ALWAYS_SENSITIVE |
357 |
0: False. 1: True. |
| OBJ_ATTR_CLASS |
0 |
2: Öffentlicher Schlüssel in einem öffentlich-privaten Schlüsselpaar. 3: Privater Schlüssel in einem öffentlich-privaten Schlüsselpaar.4: Geheimer (symmetrischer) Schlüssel. |
| OBJ_ATTR_DECRYPT |
261 |
0: False. 1: True. Der Schlüssel kann zum Entschlüsseln von Daten verwendet werden. |
| OBJ_ATTR_DERIVE |
268 |
0: False. 1: True. Die Funktion leitet den Schlüssel ab. |
| OBJ_ATTR_DESTROYABLE |
370 |
0: False. 1: True. |
| OBJ_ATTR_ENCRYPT |
260 |
0: False. 1: True. Der Schlüssel kann zum Verschlüsseln von Daten verwendet werden. |
| OBJ_ATTR_EXTRACTABLE |
354 |
0: False. 1: True. Der Schlüssel kann aus dem exportiert werdenHSMs. |
| OBJ_ ATTR _ID |
258 | Benutzerdefinierte Zeichenfolge. Muss im Cluster eindeutig sein. Der Standardwert ist eine leere Zeichenfolge. |
| OBJ_ATTR_KCV |
371 |
Schlüsselprüfwert des Schlüssels. Weitere Informationen finden Sie unter Weitere Details. |
| OBJ_ATTR_KEY_TYPE |
256 | 0:RSA. 1:DSA. 3: EC. 16: Allgemeiner geheimer Schlüssel. 18:RC4. 21: Dreifach DES (3DES). 31:AES. |
| OBJ_ATTR_LABEL |
3 |
Benutzerdefinierte Zeichenfolge. Muss im Cluster nicht eindeutig sein. |
| OBJ_ATTR_LOCAL |
355 |
0. Falsch. Der Schlüssel wurde in den importiertHSMs. 1: True. |
| OBJ_ATTR_MODULUS |
288 |
Der Modul, der zur Generierung eines RSA key pair verwendet wurde. Bei EC-Schlüsseln steht dieser Wert für die DER -Kodierung des ANSI ECPoint X9.62-Werts „Q“ in einem Hexadezimalformat. Für andere Schlüsseltypen ist dieses Attribut nicht vorhanden. |
| OBJ_ATTR_MODULUS_BITS |
289 |
Die Länge des Moduls, der zur Generierung eines RSA key pair verwendet wird. Bei EC-Schlüsseln steht dies für die ID der elliptischen Kurve, die zur Generierung des Schlüssels verwendet wurde. Für andere Schlüsseltypen ist dieses Attribut nicht vorhanden. |
| OBJ_ATTR_NEVER_EXTRACTABLE |
356 |
0: False. 1: True. Der Schlüssel kann nicht aus dem HSMs exportiert werden. |
| OBJ_ATTR_PUBLIC_EXPONENT |
290 |
Der öffentliche Exponent, der zur Generierung eines RSA Schlüsselpaars verwendet wurde. Für andere Schlüsseltypen ist dieses Attribut nicht vorhanden. |
| OBJ_ATTR_PRIVATE |
2 |
0: False. 1: True. Dieses Attribut gibt an, ob nicht authentifizierte Benutzer die Attribute des Schlüssels auflisten können. Da der Cloud HSM PKCS #11 -Anbieter derzeit keine öffentlichen Sitzungen unterstützt, ist dieses Attribut für alle Schlüssel (einschließlich öffentlicher Schlüssel in einem öffentlich-privaten key pair) auf 1 gesetzt. |
| OBJ_ATTR_SENSITIVE |
259 |
0: False. Öffentlicher Schlüssel in einem öffentlich-privaten Schlüsselpaar. 1: True. |
| OBJ_ATTR_SIGN |
264 |
0: False. 1: True. Der Schlüssel kann zum Signieren verwendet werden (private Schlüssel). |
| OBJ_ATTR_TOKEN |
1 |
0: False. Sitzungsschlüssel. 1: True. Persistenter Schlüssel. |
| OBJ_ATTR_TRUSTED |
134 |
0: False. 1: True. |
| OBJ_ATTR_UNWRAP |
263 |
0: False. 1: True. Der Schlüssel kann zum Entschlüsseln von Schlüsseln verwendet werden. |
| OBJ_ATTR_UNWRAP_TEMPLATE |
1073742354 |
Für die Werte sollte die Attributvorlage verwendet werden, die auf jeden Schlüssel angewendet wird, der mit diesem Schlüssel zum Packen entpackt wird. |
| OBJ_ATTR_VALUE_LEN |
353 |
Schlüssellänge in Bytes. |
| OBJ_ATTR_VERIFY |
266 |
0: False. 1: True. Der Schlüssel für die Verifizierung verwendet werden (öffentliche Schlüssel). |
| OBJ_ATTR_WRAP |
262 |
0: False. 1: True. Der Schlüssel kann zum Verschlüsseln von Schlüsseln verwendet werden. |
| OBJ_ATTR_WRAP_TEMPLATE |
1073742353 |
Für die Werte sollte die Attributvorlage verwendet werden, die dem Schlüssel entspricht, der mit diesem Schlüssel zum Packen gepackt wurde. |
| OBJ_ATTR_WRAP_WITH_TRUSTED |
528 |
0: False. 1: True. |
Weitere Details
- Wert für die Schlüsselüberprüfung () KCV
Der Schlüsselprüfwert (KCV) ist ein 3-Byte-Hash oder eine Prüfsumme eines Schlüssels, der generiert wird, wenn der Schlüssel HSM importiert oder generiert wird. Sie können auch einen Wert KCV außerhalb von berechnenHSM, z. B. nach dem Exportieren eines Schlüssels. Anschließend können Sie die KCV Werte vergleichen, um die Identität und Integrität des Schlüssels zu bestätigen. Um den Wert KCV eines Schlüssels zu ermitteln, verwenden Sie getAttribute.
AWS CloudHSM verwendet die folgende Standardmethode, um einen Schlüsselprüfwert zu generieren:
-
Symmetrische Schlüssel: Die ersten 3 Byte des Ergebnisses der Verschlüsselung eines Nullblocks mit dem Schlüssel.
-
Asymmetrische Schlüsselpaare: Die ersten 3 Byte des SHA 1-Hashs des öffentlichen Schlüssels.
-
HMACkeys: KCV for HMAC keys wird derzeit nicht unterstützt.
-
