AES-Schlüssel einpacken AWS CloudHSM - AWS CloudHSM
Unterstützte AlgorithmenVerwenden Sie den AES-Schlüsselumbruch AWS CloudHSM

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AES-Schlüssel einpacken AWS CloudHSM

In diesem Thema werden die Optionen für das Umschließen von AES-Schlüsseln beschrieben AWS CloudHSM. Die AES Key Wrapping verwendet einen AES-Schlüssel (den Verschlüsselungsschlüssel), um einen anderen Schlüssel eines beliebigen Typs (den Zielschlüssel) zu verschlüsseln. Sie verwenden die Verschlüsselung, um gespeicherte Schlüssel zu schützen oder Schlüssel über unsichere Netzwerke zu übermitteln.

Unterstützte Algorithmen

AWS CloudHSM bietet drei Optionen für das Umschließen von AES-Schlüsseln, die jeweils darauf basieren, wie der Zielschlüssel vor dem Umbruch aufgefüllt wird. Das Padding erfolgt automatisch in Übereinstimmung mit dem von Ihnen verwendeten Algorithmus, wenn Sie die Verschlüsselung aufrufen. In der folgenden Tabelle sind die unterstützten Algorithmen und die zugehörigen Details aufgeführt, um Ihnen bei der Auswahl eines geeigneten Verschlüsselungsmechanismus für Ihre Anwendung zu helfen.

AES-Verschlüsselungsalgorithmus Spezifikation Unterstützte Zielschlüsseltypen Padding-Schema AWS CloudHSM Verfügbarkeit des Clients
AES-Verschlüsselung mit Zero Padding RFC 5649 und SP 800 - 38F Alle Fügt zur Blockausrichtung Schlüssel-Bits nach Bedarf Nullen hinzu SDK 3.1 und höher
AES-Verschlüsselung ohne Padding RFC 3394 und SP 800 - 38F Blockausgerichtete Schlüssel wie AES und 3DES None SDK 3.1 und höher
AES-Verschlüsselung mit PKCS #5 Padding None Alle

Mindestens 8 Bytes werden gemäß PKCS #5 Padding-Schema zur Blockausrichtung hinzugefügt

Alle

Weitere Informationen zur Verwendung der AES-Verschlüsselungsalgorithmen aus der vorangegangenen Tabelle in Ihrer Anwendung finden Sie unter Verwenden von AES Key Wrap in AWS CloudHSM.

Grundlegendes zu Initialisierungsvektoren in der AES-Verschlüsselung

Vor dem Verschlüsseln hängt CloudHSM einen Initialisierungsvektor (IV) an den Zielschlüssel für die Datenintegrität an. Jeder Verschlüsselungsalgorithmus weist spezifische Einschränkungen auf, welcher IV-Typ zulässig ist. Um die IV einzustellen AWS CloudHSM, haben Sie zwei Möglichkeiten:

  • Implizit: Setzen Sie den IV auf NULL und CloudHSM verwendet für diesen Algorithmus den Standardwert für Ver- und Entschlüsselungsvorgänge (empfohlen)

  • Explizit: Legen Sie den IV fest, indem Sie den Standard-IV-Wert an die Verschlüsselungsfunktion übergeben.

Wichtig

Sie müssen wissen, welchen IV Sie in Ihrer Anwendung verwenden. Um den Schlüssel zu entschlüsseln, müssen Sie denselben IV angeben, den Sie zum Verschlüsseln des Schlüssels verwendet haben. Wenn Sie einen impliziten IV zum Verschlüsseln verwenden, wenden Sie zum Entschlüsseln einen impliziten IV an. Bei einem impliziten IV verwendet CloudHSM zum Entschlüsseln den Standardwert.

Die folgende Tabelle beschreibt zulässige Werte für IVs, die der Verschlüsselungsalgorithmus spezifiziert.

AES-Verschlüsselungsalgorithmus Implizite IV Expliziter IV
AES-Verschlüsselung mit Zero Padding Erforderlich

Standardwert: (intern berechneter IV basierend auf der Spezifikation)

 Nicht zulässig
AES-Verschlüsselung ohne Padding Zulässig (empfohlen)

Standardwert: 0xA6A6A6A6A6A6A6A6

 Zulässig

Nur dieser Wert akzeptiert: 0xA6A6A6A6A6A6A6A6
AES-Verschlüsselung mit PKCS #5 Padding Zulässig (empfohlen)

Standardwert: 0xA6A6A6A6A6A6A6A6

 Zulässig

Nur dieser Wert akzeptiert: 0xA6A6A6A6A6A6A6A6

Verwenden Sie den AES-Schlüsselumbruch AWS CloudHSM

Sie packen und entpacken Schlüssel wie folgt:

  • Wählen Sie wie in der folgenden Tabelle dargestellt in der PCS #11-Bibliothek den entsprechenden Mechanismus für die Funktionen C_WrapKey und C_UnWrapKey aus.

  • Wählen Sie wie in der folgenden Tabelle dargestellt im JCE-Anbieter den entsprechenden Algorithmus, den Modus und die Padding-Kombination zur Implementierung der Cipher-Methoden Cipher.WRAP_MODE und Cipher.UNWRAP_MODE aus.

  • Wählen Sie in der CloudHSM-CLI den entsprechenden Algorithmus aus der Liste der unterstützten Schlüssel auspacken Algorithmen Schlüsselhülle und Algorithmen aus, wie in der folgenden Tabelle dargestellt.

  • Verwenden Sie wie in der folgenden Tabelle dargestellt in key_mgmt_util (KMU) die Befehle wrapKey und unWrapKey mit entsprechenden m-Werten.

AES-Verschlüsselungsalgorithmus PKCS #11-Mechanismus Java-Methode CloudHSM CLI-Unterbefehl Argument des Key Management Utility (KMU)
AES-Verschlüsselung mit Zero Padding

  • CKM_CLOUDHSM_AES_KEY_WRAP_ZERO_PAD (Anbieterdefinierter Mechanismus)

AESWrap/ECB/ZeroPadding aes-zero-pad m = 6
AES-Verschlüsselung ohne Padding

  • CKM_CLOUDHSM_AES_KEY_WRAP_NO_PAD (Anbieterdefinierter Mechanismus)

 AESWrap/ECB/NoPadding aes-no-pad m = 5
AES-Verschlüsselung mit PKCS #5 Padding

  • CKM_CLOUDHSM_AES_KEY_WRAP_PKCS5_PAD (Anbieterdefinierter Mechanismus)

 AESWrap/ECB/PKCS5Padding aes-pkcs5-pad m = 4