Claves compatibles Cifrados compatibles Resúmenes compatibles Algoritmos de código de autenticación de mensajes basado en hash (HMAC) compatibles Mecanismos de firma y verificación compatibles Notas del mecanismo

Mecanismos compatibles con SDK 3 de cliente

Para obtener información sobre las interfaces y las clases de motor de la arquitectura criptográfica de Java (JCA) compatibles AWS CloudHSM, consulte los temas siguientes.

Temas

Claves compatibles
Cifrados compatibles
Resúmenes compatibles
Algoritmos de código de autenticación de mensajes basado en hash (HMAC) compatibles
Mecanismos de firma y verificación compatibles
Notas del mecanismo

Claves compatibles

La biblioteca de AWS CloudHSM software para Java permite generar los siguientes tipos de claves.

AES: claves AES de 128, 192 y 256 bits.
DESede: clave 3DES de 92 bits. Consulte la nota 1 que aparece a continuación para ver los próximos cambios.
Pares de claves ECC para curvas de NIST secp256r1 (P-256), secp384r1 (P-384) y secp256k1 (Blockchain).
RSA: claves RSA de 2048 a 4096 bits, en incrementos de 256 bits.

Además de los parámetros estándar, admitimos los siguientes parámetros para cada clave que se genere.

Label: etiqueta de clave que puede utilizar para buscar claves.
isExtractable: indica si la clave se puede exportar desde el HSM.
isPersistent: indica si la clave permanece en el HSM cuando finaliza la sesión en curso.

nota

La versión 3.1 de la biblioteca de Java permite especificar parámetros con mayor detalle. Para obtener más información, consulte este artículo sobre los atributos de Java admitidos.

Cifrados compatibles

La biblioteca de AWS CloudHSM software para Java admite las siguientes combinaciones de algoritmo, modo y relleno.

Algoritmo	Mode	Rellenado	Notas
AES	CBC	`AES/CBC/NoPadding` `AES/CBC/PKCS5Padding`	Implementa `Cipher.ENCRYPT_MODE` y `Cipher.DECRYPT_MODE`.
AES	ECB	`AES/ECB/NoPadding` `AES/ECB/PKCS5Padding`	Implementa `Cipher.ENCRYPT_MODE` y `Cipher.DECRYPT_MODE`. Utiliza AES de transformación.
AES	CTR	`AES/CTR/NoPadding`	Implementa `Cipher.ENCRYPT_MODE` y `Cipher.DECRYPT_MODE`.
AES	GCM	`AES/GCM/NoPadding`	Implementa `Cipher.ENCRYPT_MODE`, `Cipher.DECRYPT_MODE`, `Cipher.WRAP_MODE` y `Cipher.UNWRAP_MODE`. Al realizar el cifrado AES-GCM, el HSM no tiene en cuenta el vector de inicialización (IV) de la solicitud y utiliza un IV que él mismo genera. Una vez que se ha completado la operación, deberá llamar a `Cipher.getIV()` para obtener el IV.
AESWrap	ECB	`AESWrap/ECB/ZeroPadding` `AESWrap/ECB/NoPadding` `AESWrap/ECB/PKCS5Padding`	Implementa `Cipher.WRAP_MODE` y `Cipher.UNWRAP_MODE`. Utiliza AES de transformación.
DESede (Triple DES)	CBC	`DESede/CBC/NoPadding` `DESede/CBC/PKCS5Padding`	Implementa `Cipher.ENCRYPT_MODE` y `Cipher.DECRYPT_MODE`. Las rutinas de generación de claves aceptan un tamaño de 168 o 192 bits. Sin embargo, internamente, todas las claves DESede son de 192 bits. Consulte la nota 1 que aparece a continuación para ver los próximos cambios.
DESede (Triple DES)	ECB	`DESede/ECB/NoPadding` `DESede/ECB/PKCS5Padding`	Implementa `Cipher.ENCRYPT_MODE` y `Cipher.DECRYPT_MODE`. Las rutinas de generación de claves aceptan un tamaño de 168 o 192 bits. Sin embargo, internamente, todas las claves DESede son de 192 bits. Consulte la nota 1 que aparece a continuación para ver los próximos cambios.
RSA	ECB	`RSA/ECB/NoPadding` `RSA/ECB/PKCS1Padding`	Implementa `Cipher.ENCRYPT_MODE` y `Cipher.DECRYPT_MODE`. Consulte la nota 1 que aparece a continuación para ver los próximos cambios.
RSA	ECB	`RSA/ECB/OAEPPadding` `RSA/ECB/OAEPWithSHA-1ANDMGF1Padding` `RSA/ECB/OAEPWithSHA-224ANDMGF1Padding` `RSA/ECB/OAEPWithSHA-256ANDMGF1Padding` `RSA/ECB/OAEPWithSHA-384ANDMGF1Padding` `RSA/ECB/OAEPWithSHA-512ANDMGF1Padding`	Implementa `Cipher.ENCRYPT_MODE`, `Cipher.DECRYPT_MODE`, `Cipher.WRAP_MODE` y `Cipher.UNWRAP_MODE`. `OAEPPadding` es `OAEP` con el tipo de rellenado `SHA-1`.
RSAAESWrap	ECB	`OAEPPADDING`	Implementa `Cipher.WRAP_Mode` y `Cipher.UNWRAP_MODE`.

Resúmenes compatibles

La biblioteca AWS CloudHSM de software para Java admite los siguientes resúmenes de mensajes.

SHA-1
SHA-224
SHA-256
SHA-384
SHA-512

nota

A los datos con una longitud inferior a 16 KB se les aplica la función hash en el HSM, mientras que a los de mayor tamaño se les aplica localmente mediante software.

Algoritmos de código de autenticación de mensajes basado en hash (HMAC) compatibles

La biblioteca AWS CloudHSM de software para Java admite los siguientes algoritmos HMAC.

HmacSHA1
HmacSHA224
HmacSHA256
HmacSHA384
HmacSHA512

Mecanismos de firma y verificación compatibles

La biblioteca de AWS CloudHSM software para Java admite los siguientes tipos de firma y verificación.

Tipos de firma RSA

NONEwithRSA
SHA1withRSA
SHA224withRSA
SHA256withRSA
SHA384withRSA
SHA512withRSA
SHA1withRSA/PSS
SHA224withRSA/PSS
SHA256withRSA/PSS
SHA384withRSA/PSS
SHA512withRSA/PSS

Tipos de firma ECDSA

NONEwithECDSA
SHA1withECDSA
SHA224withECDSA
SHA256withECDSA
SHA384withECDSA
SHA512withECDSA

Notas del mecanismo

[1] De acuerdo con las directrices del NIST, esto no está permitido para los clústeres en modo FIPS después de 2023. En el caso de los clústeres que no estén en modo FIPS, se seguirá permitiendo después de 2023. Para obtener más información, consulte FIPS140 Cumplimiento: obsolescencia del mecanismo en 2024.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Instalación del proveedor de JCE

Atributos de clave