Referencia de atributos de claves de AWS CloudHSM para la KMU
Los comandos key_mgmt_util del AWS CloudHSM usan constantes para representar los atributos de claves en un módulo de seguridad de hardware (HSM). Este tema puede ayudarle a identificar los atributos, encontrar las constantes que los representan en comandos y comprender sus valores.
Usted configura los atributos de una clave cuando la crea. Para cambiar el atributo del token, que indica si una clave es persistente o solo existe en la sesión, utilice el comando setAttribute de key_mgmt_util. Para cambiar los atributos de etiquetado, encapsulado, desencapsulamiento, cifrado y descifrado, utilice el comandosetAttribute de cloudhsm_mgmt_util.
Para obtener una lista de los atributos y sus constantes, utilice listAttributes. Para obtener los valores de atributo de una clave, utilice getAttribute.
En la siguiente tabla se enumeran los atributos clave, sus constantes y sus valores válidos.
| Atributo | Constant | Valores |
|---|---|---|
| OBJ_ATTR_ALL |
512 |
Representa todos los atributos. |
| OBJ_ATTR_ALWAYS_SENSITIVE |
357 |
0: falso. 1: verdadero. |
| OBJ_ATTR_CLASS |
0 |
2: clave pública de un par de claves público-privada. 3: clave privada de un par de claves público-privada.4: clave secreta (simétrica). |
| OBJ_ATTR_DECRYPT |
261 |
0: falso. 1: verdadero. La clave se puede utilizar para descifrar datos. |
| OBJ_ATTR_DERIVE |
268 |
0: falso. 1: verdadero. La función deriva la clave. |
| OBJ_ATTR_DESTROYABLE |
370 |
0: falso. 1: verdadero. |
| OBJ_ATTR_ENCRYPT |
260 |
0: falso. 1: verdadero. La clave se puede utilizar para cifrar datos. |
| OBJ_ATTR_EXTRACTABLE |
354 |
0: falso. 1: verdadero. Es posible exportar la clave desde los HSM. |
| OBJ_ATTR_ID |
258 | Cadena definida por el usuario. Debe ser única en el clúster. El valor predeterminado es una cadena vacía. |
| OBJ_ATTR_KCV |
371 |
Valor de comprobación de clave de la clave. Para obtener más información, consulte Detalles adicionales. |
| OBJ_ATTR_KEY_TYPE |
256 | 0: RSA. 1: DSA. 3: EC. 16: secreto genérico. 18: RC4. 21: Triple DES (3DES). 31: AES. |
| OBJ_ATTR_LABEL |
3 |
Cadena definida por el usuario. No tiene que ser única en el clúster. |
| OBJ_ATTR_LOCAL |
355 |
0. False. La clave se importó a los HSM. 1: verdadero. |
| OBJ_ATTR_MODULUS |
288 |
El módulo que se utilizó para generar un par de claves RSA. Para las claves EC, este valor representa la codificación DER del valor ECpoint ANSI X9.62 "Q" en formato hexadecimal. Para otros tipos de clave, este atributo no existe. |
| OBJ_ATTR_MODULUS_BITS |
289 |
La longitud del módulo que se utilizó para generar un par de claves RSA. En el caso de las claves EC, representa el ID de la curva elíptica utilizada para generar la clave. Para otros tipos de clave, este atributo no existe. |
| OBJ_ATTR_NEVER_EXTRACTABLE |
356 |
0: falso. 1: verdadero. No es posible exportar la clave desde los HSM. |
| OBJ_ATTR_PUBLIC_EXPONENT |
290 |
El exponente público que se utilizó para generar un par de claves RSA. Para otros tipos de clave, este atributo no existe. |
| OBJ_ATTR_PRIVATE |
2 |
0: falso. 1: verdadero. Este atributo indica si los usuarios sin autenticar pueden enumerar los atributos de la clave. Dado que el proveedor PKCS#11 de CloudHSM no admite actualmente las sesiones públicas, todas las claves (incluidas las claves públicas de un par de clave pública-privada) tienen este atributo establecido en 1. |
| OBJ_ATTR_SENSITIVE |
259 |
0: falso. Clave pública de un par de claves público-privadas. 1: verdadero. |
| OBJ_ATTR_SIGN |
264 |
0: falso. 1: verdadero. La clave se puede utilizar para firmar (claves privadas). |
| OBJ_ATTR_TOKEN |
1 |
0: falso. Clave de sesión. 1: verdadero. Clave persistente. |
| OBJ_ATTR_TRUSTED |
134 |
0: falso. 1: verdadero. |
| OBJ_ATTR_UNWRAP |
263 |
0: falso. 1: verdadero. La clave se puede utilizar para descifrar claves. |
| OBJ_ATTR_UNWRAP_TEMPLATE |
1073742354 |
Los valores deben usar la plantilla de atributo aplicada a cualquier clave desencapsulada mediante esta clave de encapsulamiento. |
| OBJ_ATTR_VALUE_LEN |
353 |
Longitud de la clave en bytes. |
| OBJ_ATTR_VERIFY |
266 |
0: falso. 1: verdadero. La clave se puede utilizar para verificación (claves públicas). |
| OBJ_ATTR_WRAP |
262 |
0: falso. 1: verdadero. La clave se puede utilizar para cifrar claves. |
| OBJ_ATTR_WRAP_TEMPLATE |
1073742353 |
Los valores deben usar la plantilla de atributo para coincidir con la clave encapsulada usando esta clave de encapsulamiento. |
| OBJ_ATTR_WRAP_WITH_TRUSTED |
528 |
0: falso. 1: verdadero. |
Detalles adicionales
- Valor de comprobación de claves (KCV)
El valor de comprobación de claves (KCV) es un hash o suma de comprobación de 3 bytes de una clave que se genera cuando el HSM importa o genera una clave. También puede calcular un KCV fuera del HSM, por ejemplo, después de exportar una clave. A continuación, puede comparar los valores del KCV para confirmar la identidad e integridad de la clave. Para obtener el KCV (valor de control de la clave), utilice getAttribute.
AWS CloudHSM emplea el siguiente método estándar para generar un valor de control de clave:
-
Claves simétricas: los primeros 3 bytes del resultado obtenido al cifrar un bloque cero con la clave.
-
Pares de claves asimétricas: los primeros 3 bytes del hash SHA-1 de la clave pública.
-
Claves HMAC: por el momento, no se admite el uso del KCV con claves HMAC.
-
