Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS CloudHSM référence d'attribut clé pour KMU
Les commandes AWS CloudHSM key_mgmt_util utilisent des constantes pour représenter les attributs des clés dans un module de sécurité matériel (). HSM Cette rubrique peut vous aider à identifier les attributs, à trouver les constantes qui les représentent dans les commandes et à comprendre leurs valeurs.
Vous définissez les attributs d'une clé lors de sa création. Pour modifier l'attribut token, qui indique si une clé est persistante ou n'existe que dans la session, utilisez la setAttributecommande dans key_mgmt_util. Pour modifier les attributs d'étiquette, d'encapsulage, de désencapsulage, de chiffrement ou de déchiffrement, utilisez la commande setAttribute de cloudhsm_mgmt_util.
Pour obtenir la liste des attributs et de leurs constantes, utilisez listAttributes. Pour obtenir les valeurs d'attribut d'une clé, utilisez getAttribute.
Le tableau suivant répertorie les attributs de clé, leurs constantes et leurs valeurs valides.
| Attribut | Constant | Valeurs |
|---|---|---|
| OBJ_ATTR_ALL |
512 |
Représente tous les attributs. |
| OBJ_ATTR_ALWAYS_SENSITIVE |
357 |
0 : False. 1 : True. |
| OBJ_ATTR_CLASS |
0 |
2 : Clé publique dans une paire de clés publique-privée. 3 : Clé privée dans une paire de clés publique-privée.4 : Clé secrète (symétrique). |
| OBJ_ATTR_DECRYPT |
261 |
0 : False. 1 : True. La clé peut être utilisée pour déchiffrer les données. |
| OBJ_ATTR_DERIVE |
268 |
0 : False. 1 : True. La fonction dérive la clé. |
| OBJ_ATTR_DESTROYABLE |
370 |
0 : False. 1 : True. |
| OBJ_ATTR_ENCRYPT |
260 |
0 : False. 1 : True. La clé peut être utilisée pour chiffrer les données. |
| OBJ_ATTR_EXTRACTABLE |
354 |
0 : False. 1 : True. La clé peut être exportée depuis leHSMs. |
| OBJ_ ATTR _IDENTIFIANT |
258 | Chaîne définie par l'utilisateur. Elle doit être unique dans le cluster. La valeur par défaut est une chaîne vide. |
| OBJ_ATTR_KCV |
371 |
Valeur de contrôle de clé de la clé. Pour plus d'informations, consultez Informations supplémentaires. |
| OBJ_ATTR_KEY_TYPE |
256 | 0 :RSA. 1 :DSA. 3 : EC. 16 : Secret générique. 18 ans :RC4. 21 : Triple DES (3DES). 31 :AES. |
| OBJ_ATTR_LABEL |
3 |
Chaîne définie par l'utilisateur. Elle n'est pas tenue d'être unique dans le cluster. |
| OBJ_ATTR_LOCAL |
355 |
0. Faux. La clé a été importée dans leHSMs. 1 : True. |
| OBJ_ATTR_MODULUS |
288 |
Le module utilisé pour générer une paire de RSA clés. Pour les clés EC, cette valeur représente le DER codage de la ECPoint valeur ANSI X9.62 « Q » au format hexadécimal. Pour les autres types de clé, cet attribut n'existe pas. |
| OBJ_ATTR_MODULUS_BITS |
289 |
Longueur du module utilisé pour générer une paire de RSA clés. Pour les clés EC, cela représente l'ID de la courbe elliptique utilisée pour générer la clé. Pour les autres types de clé, cet attribut n'existe pas. |
| OBJ_ATTR_NEVER_EXTRACTABLE |
356 |
0 : False. 1 : True. La clé ne peut pas être exportée depuis leHSMs. |
| OBJ_ATTR_PUBLIC_EXPONENT |
290 |
L'exposant public utilisé pour générer une paire de RSA clés. Pour les autres types de clé, cet attribut n'existe pas. |
| OBJ_ATTR_PRIVATE |
2 |
0 : False. 1 : True. Cet attribut indique si les utilisateurs non authentifiés peuvent répertorier les attributs de la clé. Étant donné que le fournisseur Cloud HSM PKCS #11 ne prend actuellement pas en charge les sessions publiques, cet attribut est défini sur 1 pour toutes les clés (y compris les clés publiques d'une paire de clés publique-privée). |
| OBJ_ATTR_SENSITIVE |
259 |
0 : False. Clé publique dans une paire de clés publique-privée. 1 : True. |
| OBJ_ATTR_SIGN |
264 |
0 : False. 1 : True. La clé peut être utilisée pour la signature (clés privées). |
| OBJ_ATTR_TOKEN |
1 |
0 : False. Clé de session. 1 : True. Clé persistante. |
| OBJ_ATTR_TRUSTED |
134 |
0 : False. 1 : True. |
| OBJ_ATTR_UNWRAP |
263 |
0 : False. 1 : True. La clé peut être utilisée pour déchiffrer les clés. |
| OBJ_ATTR_UNWRAP_TEMPLATE |
1073742354 |
Les valeurs doivent utiliser le modèle d'attribut appliqué à toute clé désencapsulée à l'aide de cette clé d'encapsulage. |
| OBJ_ATTR_VALUE_LEN |
353 |
Longueur de clé en octets |
| OBJ_ATTR_VERIFY |
266 |
0 : False. 1 : True. La clé peut être utilisée pour la vérification (clés publiques). |
| OBJ_ATTR_WRAP |
262 |
0 : False. 1 : True. La clé peut être utilisée pour chiffrer les clés. |
| OBJ_ATTR_WRAP_TEMPLATE |
1073742353 |
Les valeurs doivent utiliser le modèle d'attribut pour correspondre à la clé encapsulée à l'aide de cette clé d'encapsulage. |
| OBJ_ATTR_WRAP_WITH_TRUSTED |
528 |
0 : False. 1 : True. |
Informations supplémentaires
- Valeur de contrôle de la clé (KCV)
La valeur de contrôle de clé (KCV) est un hachage ou une somme de contrôle sur 3 octets d'une clé qui est générée lors de l'HSMimportation ou de la génération d'une clé. Vous pouvez également calculer une KCV valeur extérieure àHSM, par exemple après avoir exporté une clé. Vous pouvez ensuite comparer les KCV valeurs pour confirmer l'identité et l'intégrité de la clé. Pour obtenir le KCV code d'une clé, utilisez getAttribute.
AWS CloudHSM utilise la méthode standard suivante pour générer une valeur de contrôle clé :
-
Clés symétriques : les 3 premiers octets du résultat du chiffrement d'un bloc zéro avec la clé.
-
Paires de clés asymétriques : les 3 premiers octets du hachage SHA -1 de la clé publique.
-
HMACkeys : KCV for HMAC keys n'est pas pris en charge pour le moment.
-
