Comment déballer une clé de données avec une clé fiable pour AWS CloudHSM

Pour déballer une clé de données AWS CloudHSM, vous avez besoin d'une clé fiable CKA_UNWRAP définie sur true. Pour être une telle clé, elle doit également répondre aux critères suivants :

L'attribut CKA_TRUSTED de la clé doit être défini sur true.
La clé doit utiliser des attributs CKA_UNWRAP_TEMPLATE et associés pour spécifier les actions que les clés de données peuvent effectuer une fois qu'elles sont désencapsulées. Si, par exemple, vous souhaitez qu'une clé désencapsulée ne soit pas exportable, vous définissez CKA_EXPORTABLE = FALSE dans le cadre de CKA_UNWRAP_TEMPLATE.

Note

CKA_UNWRAP_TEMPLATEest uniquement disponible avec PKCS #11.

Lorsqu'une application soumet une clé pour désencapsulage, elle peut fournir également son propre modèle de désencapsulage. Si vous spécifiez un modèle de déballage et que l'application fournit son propre modèle de déballage, elle HSM utilise les deux modèles pour appliquer des noms et des valeurs d'attribut à la clé. Toutefois, si, au cours de la demande de désencapsulage, une valeur du CKA_UNWRAP_TEMPLATE de la clé fiable entre en conflit avec un attribut fourni par l'application, la demande de désencapsulage échoue.

Pour voir un exemple de déballage d'une clé de données avec une clé fiable, reportez-vous à cet exemple PKCS #11.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Comment utiliser des clés fiables pour encapsuler des clés de données

Gestion des clés avec le Cloud HSM CLI