Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Unterstützte Schlüsselattribute für die PKCS #11 -Bibliothek
Bei einem Schlüsselobjekt kann es sich um einen öffentlichen, privaten oder geheimen Schlüssel handeln. Für ein Schlüsselobjekt genehmigte Aktionen werden durch Attribute angegeben. Attribute werden bei der Erstellung des Schlüsselobjekts bestimmt. Wenn Sie die PKCS #11-Bibliothek verwenden, weisen wir Standardwerte zu, wie sie im PKCS #11-Standard festgelegt sind.
AWS CloudHSM unterstützt nicht alle in der PKCS #11 -Spezifikation aufgeführten Attribute. Wir erfüllen die Spezifikation für alle von uns unterstützten Attribute. Diese Attribute sind in den entsprechenden Tabellen aufgeführt.
Kryptografische Funktionen wie C_CreateObject
, C_GenerateKey
, C_GenerateKeyPair
, C_UnwrapKey
und C_DeriveKey
zum Erstellen, Ändern oder Kopieren von Objekten benötigen eine Attributvorlage für einen ihrer Parameter. Weitere Informationen zum Übertragen von Attributvorlagen während der Erstellung von Objekten finden Sie in den Beispielen unter Generieren von Schlüsseln über die PKCS #11-Bibliothek
Interpretation der PKCS #11-Bibliotheksattribut-Tabelle
Die PKCS #11-Bibliothek-Tabelle enthält eine Liste von Attributen, die je nach Schlüsseltyp unterschiedlich sind. Sie gibt an, ob ein bestimmtes Attribut für einen bestimmten Schlüsseltyp unterstützt wird, wenn eine bestimmte kryptografische Funktion mit verwendet wird. AWS CloudHSM
Legende:
-
✔ gibt an, dass CloudHSM das Attribut für den spezifischen Schlüsseltyp unterstützt.
-
✖ gibt an, dass CloudHSM das Attribut für den spezifischen Schlüsseltyp nicht unterstützt.
-
R gibt an, dass der Attributwert für den spezifischen Schlüsseltyp als schreibgeschützt festgelegt ist.
-
S zeigt an, dass das Attribut von
GetAttributeValue
nicht gelesen werden kann, da hierbei Groß- und Kleinschreibung beachtet werden muss. -
Eine leere Zelle in der Spalte „Standardwert“ gibt an, dass dem Attribut kein spezifischer Standardwert zugewiesen ist.
Attribut |
Schlüsseltyp |
Default Value (Standardwert) |
|||
---|---|---|---|---|---|
|
EC privat |
EC öffentlich |
RSA privat |
RSA öffentlich |
|
|
✔ |
✔ |
✔ |
✔ |
|
|
✔ |
✔ |
✔ |
✔ |
|
|
✔ |
✔ |
✔ |
✔ |
|
|
✔ |
✔ |
✔ |
✔ |
|
|
R |
R |
R |
R |
True |
|
✔ |
✔ |
✔ |
✔ |
False |
|
✔1 |
✔1 |
✔1 |
✔1 |
True |
|
✖ |
✔ |
✖ |
✔ |
False |
|
✔ |
✖ |
✔ |
✖ |
False |
|
✔ |
✔ |
✔ |
✔ |
False |
|
✔1 |
✔1 |
✔1 |
✔1 |
True |
|
✔ |
✔ |
✔ |
✔ |
True |
|
✔ |
✖ |
✔ |
✖ |
False |
|
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✔ |
✖ |
✔ |
False |
|
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✔ |
✖ |
✔ |
False |
|
✖ |
✔ |
✖ |
✔ |
|
|
✖ |
✔ |
✖ |
✔ |
False |
|
✔ |
✖ |
✔ |
✖ |
False |
|
✔ |
✖ |
✔ |
✖ |
False |
|
✔ |
✖ |
✔ |
✖ |
|
|
✔1 |
✖ |
✔1 |
✖ |
True |
|
R |
✖ |
R |
✖ |
|
|
✔ |
✖ |
✔ |
✖ |
True |
|
R |
✖ |
R |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✔2 |
|
|
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✔2 |
|
|
✖ |
✔2 |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
|
|
R |
R |
R |
R |
|
Attribut |
Schlüsseltyp |
Default Value (Standardwert) |
||
---|---|---|---|---|
|
AES |
DES3 |
Allgemeiner geheimer Schlüssel |
|
|
✔ |
✔ |
✔ |
|
|
✔ |
✔ |
✔ |
|
|
✔ |
✔ |
✔ |
|
|
✔ |
✔ |
✔ |
|
|
R |
R |
R |
True |
|
✔ |
✔ |
✔ |
False |
|
✔1 |
✔1 |
✔1 |
True |
|
✔ |
✔ |
✖ |
False |
|
✔ |
✔ |
✖ |
False |
|
✔ |
✔ |
✔ |
False |
|
✔1 |
✔1 |
✔1 |
True |
|
✔ |
✔ |
✔ |
True |
|
✔ |
✔ |
✔ |
True |
|
✖ |
✖ |
✖ |
|
|
✔ |
✔ |
✔ |
True |
|
✖ |
✖ |
✖ |
|
|
✔ |
✔ |
✖ |
False |
|
✔ |
✔ |
✖ |
|
|
✔ |
✔ |
✖ |
False |
|
✔ |
✔ |
✔ |
False |
|
✔ |
✔ |
✖ |
False |
|
✔ |
✔ |
✖ |
|
|
✔ |
✔ |
✔ |
True |
|
✖ |
✖ |
✖ |
|
|
✔ |
✔ |
✔ |
True |
|
R |
R |
R |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✔2 |
✖ |
✔2 |
|
|
R |
R |
R |
|
Attribut |
Schlüsseltyp |
Default Value (Standardwert) |
||||||
---|---|---|---|---|---|---|---|---|
|
EC privat |
EC öffentlich |
RSA privat |
RSA öffentlich |
AES |
DES3 |
Allgemeiner geheimer Schlüssel |
|
|
✔2 |
✔2 |
✔2 |
✔2 |
✔2 |
✔2 |
✔2 |
|
|
✔2 |
✔2 |
✔2 |
✔2 |
✔2 |
✔2 |
✔2 |
|
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
|
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
|
|
R |
R |
R |
R |
R |
R |
R |
False |
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
False |
|
✔1 |
✔1 |
✔1 |
✔1 |
✔1 |
✔1 |
✔1 |
True |
|
✖ |
✖ |
✖ |
✔ |
✔ |
✔ |
✖ |
False |
|
✖ |
✖ |
✔ |
✖ |
✔ |
✔ |
✖ |
False |
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
False |
|
✔1 |
✔1 |
✔1 |
✔1 |
✔1 |
✔1 |
✔1 |
True |
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
True |
|
✔ |
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
False |
|
✖ |
✖ |
✖ |
✖ |
✖ |
✖ |
✖ |
False |
|
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
✔ |
False |
|
✖ |
✖ |
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✔ |
✔ |
✔ |
✖ |
False |
|
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
✖ |
|
|
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
✖ |
False |
|
✔ |
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
False |
|
✖ |
✖ |
✔ |
✖ |
✔ |
✔ |
✖ |
False |
|
✔ |
✖ |
✔ |
✖ |
✔ |
✔ |
✖ |
|
|
✔ |
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
True |
|
R |
✖ |
R |
✖ |
R |
R |
R |
|
|
✔ |
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
True |
|
R |
✖ |
R |
✖ |
R |
R |
R |
|
|
✖ |
✖ |
✔2 |
✔2 |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✔ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✔ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✔ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✔ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✔ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✔2 |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✔2 |
✔2 |
✖ |
✖ |
✖ |
|
|
✔2 |
✔2 |
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✔2 |
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✔2 |
✖ |
✖ |
✖ |
✔2 |
✔2 |
✔2 |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
R |
R |
R |
R |
R |
R |
R |
|
Attribut |
Schlüsseltyp |
Default Value (Standardwert) |
||||
---|---|---|---|---|---|---|
|
EC privat |
RSA privat |
AES |
DES3 |
Allgemeiner geheimer Schlüssel |
|
|
✔2 |
✔2 |
✔2 |
✔2 |
✔2 |
|
|
✔2 |
✔2 |
✔2 |
✔2 |
✔2 |
|
|
✔ |
✔ |
✔ |
✔ |
✔ |
|
|
✔ |
✔ |
✔ |
✔ |
✔ |
|
|
R |
R |
R |
R |
R |
False |
|
✔ |
✔ |
✔ |
✔ |
✔ |
False |
|
✔1 |
✔1 |
✔1 |
✔1 |
✔1 |
True |
|
✖ |
✖ |
✔ |
✔ |
✖ |
False |
|
✖ |
✔ |
✔ |
✔ |
✖ |
False |
|
✔ |
✔ |
✔ |
✔ |
✔ |
False |
|
✔1 |
✔1 |
✔1 |
✔1 |
✔1 |
True |
|
✔ |
✔ |
✔ |
✔ |
✔ |
True |
|
✔ |
✔ |
✔ |
✔ |
✔ |
False |
|
✖ |
✖ |
✖ |
✖ |
✖ |
False |
|
✖ |
✖ |
✔ |
✔ |
✔ |
False |
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✔ |
✔ |
✖ |
False |
|
✖ |
✔ |
✔ |
✔ |
✖ |
False |
|
✔ |
✔ |
✔ |
✔ |
✔ |
True |
|
✔ |
✔ |
✔ |
✔ |
✔ |
True |
|
R |
R |
R |
R |
R |
|
|
R |
R |
R |
R |
R |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
R |
R |
R |
R |
R |
|
Attribut |
Schlüsseltyp |
Default Value (Standardwert) |
||
---|---|---|---|---|
|
AES |
DES3 |
Allgemeiner geheimer Schlüssel |
|
|
✔2 |
✔2 |
✔2 |
|
|
✔2 |
✔2 |
✔2 |
|
|
✔ |
✔ |
✔ |
|
|
✔ |
✔ |
✔ |
|
|
R |
R |
R |
True |
|
✔ |
✔ |
✔ |
False |
|
✔1 |
✔1 |
✔1 |
True |
|
✔ |
✔ |
✖ |
False |
|
✔ |
✔ |
✖ |
False |
|
✔ |
✔ |
✔ |
False |
|
✔1 |
✔1 |
✔1 |
True |
|
✔1 |
✔1 |
✔1 |
True |
|
✔ |
✔ |
✔ |
False |
|
✖ |
✖ |
✖ |
|
|
✔ |
✔ |
✔ |
False |
|
✖ |
✖ |
✖ |
|
|
✔ |
✔ |
✖ |
False |
|
✔ |
✔ |
✖ |
False |
|
R |
R |
R |
True |
|
✔ |
✔ |
✔ |
True |
|
R |
R |
R |
|
|
R |
R |
R |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✔2 |
✖ |
✔2 |
|
|
R |
R |
R |
|
Attribut |
Schlüsseltyp |
||||||
---|---|---|---|---|---|---|---|
|
EC privat |
EC öffentlich |
RSA privat |
RSA öffentlich |
AES |
DES3 |
Allgemeiner geheimer Schlüssel |
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
|
✔1 |
✔1 |
✔1 |
✔1 |
✔1 |
✔1 |
✔1 |
|
✖ |
✖ |
✖ |
✔ |
✔ |
✔ |
✖ |
|
✖ |
✖ |
✔ |
✖ |
✔ |
✔ |
✖ |
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
|
✔ |
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
|
✖ |
✖ |
✔ |
✖ |
✖ |
✖ |
✖ |
|
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
✔ |
|
✖ |
✖ |
✖ |
✔ |
✖ |
✖ |
✖ |
|
✖ |
✖ |
✖ |
✔ |
✔ |
✔ |
✖ |
|
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
✖ |
|
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
✔ |
|
✔ |
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
|
✖ |
✖ |
✔ |
✖ |
✔ |
✔ |
✖ |
|
✔ |
✖ |
✔ |
✖ |
✔ |
✔ |
✖ |
|
✔ |
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
|
✔ |
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
|
✔ |
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
|
R |
R |
R |
R |
R |
R |
R |
|
✖ |
✖ |
✔ |
✔ |
✖ |
✖ |
✖ |
|
✖ |
✖ |
✖ |
✔ |
✖ |
✖ |
✖ |
|
✖ |
✖ |
S |
✖ |
✖ |
✖ |
✖ |
|
✖ |
✖ |
S |
✖ |
✖ |
✖ |
✖ |
|
✖ |
✖ |
S |
✖ |
✖ |
✖ |
✖ |
|
✖ |
✖ |
S |
✖ |
✖ |
✖ |
✖ |
|
✖ |
✖ |
S |
✖ |
✖ |
✖ |
✖ |
|
✖ |
✖ |
S |
✖ |
✖ |
✖ |
✖ |
|
✖ |
✖ |
✔ |
✔ |
✖ |
✖ |
✖ |
|
✔ |
✔ |
✖ |
✖ |
✖ |
✖ |
✖ |
|
✖ |
✔ |
✖ |
✖ |
✖ |
✖ |
✖ |
|
S |
✖ |
✖ |
✖ |
✔ |
✔ |
✔ |
|
✖ |
✖ |
✖ |
✖ |
✔ |
✖ |
✔ |
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✖ |
Anmerkungen zu Attributen
-
[1] Dieses Attribut wird teilweise von der Firmware unterstützt und muss explizit nur auf den Standardwert festgelegt werden.
-
[2] Obligatorisches Attribut.
Ändern von Attributen
Einige Attribute eines Objekts können geändert werden, nachdem das Objekt erstellt wurde, andere dagegen nicht. Um Attribute zu ändern, verwenden Sie den Befehl setAttribute aus cloudhsm_mgmt_util. Sie können auch eine Liste der Attribute und der Konstanten, die sie repräsentieren, ableiten, indem Sie den Befehl listAttribute aus cloudhsm_mgmt_util verwenden.
Die folgende Liste zeigt Attribute, die nach der Erstellung eines Objekts geändert werden dürfen.
-
CKA_LABEL
-
CKA_TOKEN
Anmerkung
Änderungen sind nur zum Umwandeln eines Sitzungsschlüssels in einen Token-Schlüssel zulässig. Verwenden Sie den Befehl setAttribute aus key_mgmt_util, um den Wert des Attributs zu ändern.
-
CKA_ENCRYPT
-
CKA_DECRYPT
-
CKA_SIGN
-
CKA_VERIFY
-
CKA_WRAP
-
CKA_UNWRAP
-
CKA_LABEL
-
CKA_SENSITIVE
-
CKA_DERIVE
Anmerkung
Dieses Attribut unterstützt die Schlüsselableitung. Es muss für alle öffentlichen Schlüssel
False
lauten und kann nicht aufTrue
festgelegt werden. Für geheime und private EC-Schlüssel kann es aufTrue
oderFalse
einstellt werden. -
CKA_TRUSTED
Anmerkung
Dieses Attribut kann nur vom Verschlüsselungsverantwortlichen (CO) auf
True
oderFalse
festgelegt werden. -
CKA_WRAP_WITH_TRUSTED
Anmerkung
Wenden Sie dieses Attribut auf einen exportierbaren Datenschlüssel an, um anzugeben, dass Sie diesen Schlüssel nur mit Schlüsseln packen können, die als
CKA_TRUSTED
markiert sind. Sobald SieCKA_WRAP_WITH_TRUSTED
auf „true“ setzen, wird das Attribut schreibgeschützt und Sie können das Attribut nicht mehr ändern oder entfernen.
Interpretieren von Fehlercodes
Das Angeben eines nicht von einem spezifischen Schlüssel unterstützten Attributs in der Vorlage führt zu einem Fehler. Die folgende Tabelle enthält die Fehlercodes, die generiert werden, wenn Sie gegen die Spezifikationen verstoßen:
Fehlercode | Beschreibung |
---|---|
CKR_TEMPLATE_INCONSISTENT |
Diese Fehlermeldung erhalten Sie, wenn Sie in der Attributvorlage ein Attribut angeben, das zwar der PKCS #11-Spezifikation entspricht, jedoch nicht von CloudHSM unterstützt wird. |
CKR_ATTRIBUTE_TYPE_INVALID |
Diese Fehlermeldung erhalten Sie, wenn Sie den Wert für ein Attribut abrufen, das zwar der PKCS #11-Spezifikation entspricht, jedoch nicht von CloudHSM unterstützt wird. |
CKR_ATTRIBUTE_INCOMPLETE |
Diese Fehlermeldung erhalten Sie, wenn Sie in der Attributvorlage das obligatorische Attribut nicht angeben. |
CKR_ATTRIBUTE_READ_ONLY |
Diese Fehlermeldung erhalten Sie, wenn Sie in der Attributvorlage ein schreibgeschütztes Attribut angeben. |