Atributos clave confiables en AWS CloudHSM

CKA_TRUSTED: aplique este atributo (además de CKA_UNWRAP_TEMPLATE) a la clave que encapsulará las claves de datos para especificar que un administrador o un oficial de cifrado (CO) ha realizado las diligencias necesarias y confía en esta clave. Solo un administrador o un CO pueden configurar CKA_TRUSTED. El usuario de criptografía (CU) es el propietario de la clave, pero solo un CO puede establecer su atributo CKA_TRUSTED.

CKA_WRAP_WITH_TRUSTED: aplique este atributo a una clave de datos exportable para especificar que solo puede encapsular esta clave con claves marcadas como CKA_TRUSTED. Una vez establecido CKA_WRAP_WITH_TRUSTED como true, el atributo pasa a ser de solo lectura y no se puede cambiar ni eliminar.

CKA_UNWRAP_TEMPLATE: aplique este atributo a la clave de encapsulamiento (además de CKA_TRUSTED) para especificar los nombres y valores de los atributos que el servicio debe aplicar automáticamente a las claves de datos que desencapsula el servicio. Cuando una aplicación envía una clave para desencapsular, la aplicación también puede proporcionar su propia plantilla de desencapsulamiento. Si especificas una plantilla de desempaquetado y la aplicación proporciona su propia plantilla de desempaquetado, HSM utilizará ambas plantillas para aplicar los nombres y valores de los atributos a la clave. Sin embargo, si un valor en la CKA_UNWRAP_TEMPLATE para la clave de encapsulamiento entra en conflicto con un atributo proporcionado por la aplicación durante la solicitud de desencapsulamiento, se produce un error en la solicitud de desencapsulamiento.

PKCS#11: atributos clave

JCEatributos clave

Atributos HSM CLI clave de la nube