Mecanismos compatibles con el proveedor de JCE - AWS CloudHSM
Generación de funciones de claves y pares de clavesFunciones de cifradoFirma y comprobación de las funcionesFunciones DigestFunciones de código de autenticación de mensajes basado en hash (HMAC).Funciones de código de autenticación de mensajes basados en cifrado (CMAC)Conversión de las claves en especificaciones clave con generadores de clavesNotas del mecanismo

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Mecanismos compatibles con el proveedor de JCE

En este tema se proporciona información sobre los mecanismos compatibles con el proveedor de JCE con el SDK de cliente 5. Para obtener información sobre las interfaces y las clases de motores de la arquitectura criptográfica de Java (JCA) compatibles AWS CloudHSM, consulte los temas siguientes.

Generación de funciones de claves y pares de claves

La biblioteca de AWS CloudHSM software para Java le permite utilizar las siguientes operaciones para generar funciones de clave y de key pair.

  • RSA

  • EC

  • AES

  • DESede (Triple DES)consulte la nota 1

  • GenericSecret

Funciones de cifrado

La biblioteca de AWS CloudHSM software para Java admite las siguientes combinaciones de algoritmo, modo y relleno.

Algoritmo Mode Rellenado Notas
AES CBC

AES/CBC/NoPadding

AES/CBC/PKCS5Padding

Implementa Cipher.ENCRYPT_MODE y Cipher.DECRYPT_MODE.

Implementa Cipher.UNWRAP_MODE for AES/CBC NoPadding
AES ECB

AES/ECB/PKCS5Padding

AES/ECB/NoPadding

Implementa Cipher.ENCRYPT_MODE y Cipher.DECRYPT_MODE.
AES CTR

AES/CTR/NoPadding

Implementa Cipher.ENCRYPT_MODE y Cipher.DECRYPT_MODE.
AES GCM

AES/GCM/NoPadding

Implementa Cipher.WRAP_MODE, Cipher.UNWRAP_MODE, Cipher.ENCRYPT_MODE y Cipher.DECRYPT_MODE.

Al realizar el cifrado AES-GCM, el HSM no tiene en cuenta el vector de inicialización (IV) de la solicitud y utiliza un IV que él mismo genera. Una vez que se ha completado la operación, deberá llamar a Cipher.getIV() para obtener el IV.
AESWrap ECB

AESWrap/ECB/NoPadding

AESWrap/ECB/PKCS5Padding

AESWrap/ECB/ZeroPadding

Implementa Cipher.WRAP_MODE y Cipher.UNWRAP_MODE.
DESede (Triple DES) CBC

DESede/CBC/PKCS5Padding

DESede/CBC/NoPadding

Implementa Cipher.ENCRYPT_MODE y Cipher.DECRYPT_MODE. Consulte la nota 1 que aparece a continuación para ver los próximos cambios.
DESede (Triple DES) ECB

DESede/ECB/NoPadding

DESede/ECB/PKCS5Padding

Implementa Cipher.ENCRYPT_MODE y Cipher.DECRYPT_MODE. Consulte la nota 1 que aparece a continuación para ver los próximos cambios.
RSA ECB

RSA/ECB/PKCS1Paddingconsulte la nota 1

RSA/ECB/OAEPPadding

RSA/ECB/OAEPWithSHA-1ANDMGF1Padding

RSA/ECB/OAEPWithSHA-224ANDMGF1Padding

RSA/ECB/OAEPWithSHA-256ANDMGF1Padding

RSA/ECB/OAEPWithSHA-384ANDMGF1Padding

RSA/ECB/OAEPWithSHA-512ANDMGF1Padding

Implementa Cipher.WRAP_MODE, Cipher.UNWRAP_MODE, Cipher.ENCRYPT_MODE y Cipher.DECRYPT_MODE.
RSA ECB

RSA/ECB/NoPadding

Implementa Cipher.ENCRYPT_MODE y Cipher.DECRYPT_MODE.
RSAAESWrap ECB

RSAAESWrap/ECB/OAEPPadding

RSAAESWrap/ECB/OAEPWithSHA-1ANDMGF1Padding

RSAAESWrap/ECB/OAEPWithSHA-224ANDMGF1Padding

RSAAESWrap/ECB/OAEPWithSHA-256ANDMGF1Padding

RSAAESWrap/ECB/OAEPWithSHA-384ANDMGF1Padding

RSAAESWrap/ECB/OAEPWithSHA-512ANDMGF1Padding

Implementa Cipher.WRAP_MODE y Cipher.UNWRAP_MODE.

Firma y comprobación de las funciones

La biblioteca de AWS CloudHSM software para Java admite los siguientes tipos de firma y verificación. Con el SDK 5 de cliente y los algoritmos de firma con hash, los datos se codifican localmente en el software antes de enviarlos al HSM para su firma o comprobación. Esto significa que no hay límite en cuanto al tamaño de los datos que el SDK puede codificar.

Tipos de firma RSA

  • NONEwithRSA

  • RSASSA-PSS

  • SHA1withRSA

  • SHA1withRSA/PSS

  • SHA1withRSAandMGF1

  • SHA224withRSA

  • SHA224withRSAandMGF1

  • SHA224withRSA/PSS

  • SHA256withRSA

  • SHA256withRSAandMGF1

  • SHA256withRSA/PSS

  • SHA384withRSA

  • SHA384withRSAandMGF1

  • SHA384withRSA/PSS

  • SHA512withRSA

  • SHA512withRSAandMGF1

  • SHA512withRSA/PSS

Tipos de firma ECDSA

  • NONEwithECDSA

  • SHA1withECDSA

  • SHA224withECDSA

  • SHA256withECDSA

  • SHA384withECDSA

  • SHA512withECDSA

Funciones Digest

La biblioteca de AWS CloudHSM software para Java admite los siguientes resúmenes de mensajes. Con SDK 5 de cliente, los datos se codifican localmente en el software. Esto significa que no hay límite en cuanto al tamaño de los datos que el SDK puede codificar.

  • SHA-1

  • SHA-224

  • SHA-256

  • SHA-384

  • SHA-512

Funciones de código de autenticación de mensajes basado en hash (HMAC).

La biblioteca AWS CloudHSM de software para Java admite los siguientes algoritmos HMAC.

  • HmacSHA1 (Tamaño máximo de datos en bytes: 16288)

  • HmacSHA224 (Tamaño máximo de datos en bytes: 16256)

  • HmacSHA256 (Tamaño máximo de datos en bytes: 16288)

  • HmacSHA384 (Tamaño máximo de datos en bytes: 16224)

  • HmacSHA512 (Tamaño máximo de datos en bytes: 16224)

Funciones de código de autenticación de mensajes basados en cifrado (CMAC)

Los CMAC (códigos de autenticación de mensajes basados en cifrado) crean códigos de autenticación de mensajes (MAC) mediante un cifrado por bloques y una clave secreta. Se diferencian de los HMAC en que utilizan un método de clave simétrica de bloques para los MAC, en lugar de un método de hash.

La biblioteca AWS CloudHSM de software para Java admite los siguientes algoritmos CMAC.

  • AESCMAC

Conversión de las claves en especificaciones clave con generadores de claves

Puede utilizar las fábricas de claves para convertir las claves en especificaciones clave. AWS CloudHSM tiene dos tipos de fábricas clave para JCE:

SecretKeyFactory: Se utiliza para importar o derivar claves simétricas. Con SecretKeyFactory él, puede pasar una clave compatible o una clave compatible KeySpec para importar o derivar claves simétricas. AWS CloudHSM Las siguientes son las especificaciones compatibles para KeyFactory:

  • SecretKeyFactoryEl generateSecret método de For admite KeySpeclas siguientes clases:

    • KeyAttributesMapse puede usar para importar bytes de una clave con atributos adicionales como clave de CloudHSM. Puede encontrar un ejemplo aquí.

    • SecretKeySpecse puede usar para importar una especificación de clave simétrica como clave de CloudHSM.

    • AesCmacKdfParameterSpecse puede utilizar para derivar claves simétricas mediante otra clave AES de CloudHSM.

nota

SecretKeyFactoryEl translateKey método utiliza cualquier clave que implemente la interfaz clave.

KeyFactory: Se utiliza para importar claves asimétricas. Con KeyFactory él, puede pasar una clave compatible o se puede importar una clave asimétrica KeySpec a ella. AWS CloudHSM Para obtener más información, consulte los siguientes recursos:

Para KeyFactory el translateKey método, incluye cualquier clave que implemente la interfaz clave.

Notas del mecanismo

[1] De acuerdo con las directrices del NIST, esto no está permitido para los clústeres en modo FIPS después de 2023. En el caso de los clústeres en modo no FIPS, se seguirá permitiendo después de 2023. Para obtener más información, consulte FIPS140 Cumplimiento: obsolescencia del mecanismo en 2024.