Atribut utama untuk Cloud HSM CLI - AWS CloudHSM
Atribut yang didukungDetail TambahanTopik terkait

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Atribut utama untuk Cloud HSM CLI

Topik ini menjelaskan cara menggunakan Cloud HSM CLI untuk menyetel atribut kunci. Atribut kunci di Cloud HSM CLI dapat menentukan jenis kunci, bagaimana kunci dapat berfungsi, atau bagaimana kunci diberi label. Beberapa atribut mendefinisikan karakteristik unik (tipe kunci, misalnya). Atribut lain dapat disetel ke true atau false—mengubahnya mengaktifkan atau menonaktifkan bagian dari fungsionalitas kunci.

Untuk contoh yang menunjukkan cara menggunakan atribut kunci, lihat perintah yang tercantum di bawah perintah indukkunci.

Atribut yang didukung

Sebagai praktik terbaik, tetapkan hanya nilai untuk atribut yang ingin Anda buat ketat. Jika Anda tidak menentukan nilai, Cloud HSM CLI menggunakan nilai default yang ditentukan dalam tabel di bawah ini.

Tabel berikut mencantumkan atribut kunci, nilai yang mungkin, default, dan catatan terkait. Sel kosong di kolom Nilai menunjukkan bahwa tidak ada nilai default spesifik yang ditetapkan ke atribut.

HSMCLIAtribut awan Nilai Dapat dimodifikasi dengan atribut set kunci Dapat diatur pada pembuatan kunci
always-sensitive

Nilainya adalah True if sensitive selalu disetel ke True dan tidak pernah berubah.

 Tidak Tidak
check-value Nilai cek kunci. Untuk informasi lebih lanjut, lihat Detail tambahan. Tidak Tidak
class

Nilai yang mungkin:secret-key,public-key, danprivate-key.

 Tidak Ya
curve

Kurva eliptik digunakan untuk menghasilkan key pair EC.

Nilai yang Valid: secp224r1secp256r1,prime256v1,secp384r1,secp256k1,, dan secp521r1

 Tidak Dapat diatur dengan EC, tidak dapat diatur dengan RSA
decrypt

Default: False

 Ya Ya
derive

Default: False

 Ya Ya
destroyable

Default: True

 Ya Ya
ec-point

Untuk kunci EC, DER -encoding ECPoint nilai ANSI X9.62 “Q” dalam format heksadesimal.

Untuk jenis kunci lainnya, atribut ini tidak ada.

 Tidak Tidak
encrypt

Default: False

 Ya Ya
extractable

Default: True

 Tidak Ya
id Default: Kosong Tidak Ya
key-length-bytes

Diperlukan untuk menghasilkan AES kunci.

Nilai yang valid:16,24, dan 32 byte.

 Tidak Tidak
key-type

Nilai yang mungkin:aes,rsa, dan ec

 Tidak Ya
label Default: Kosong Ya Ya
local

Default: True untuk kunci yang dihasilkan diHSM, False untuk kunci yang diimpor ke fileHSM.

 Tidak Tidak
modifiable

Default: True

 Tidak Tidak
modulus Modulus yang digunakan untuk menghasilkan RSA key pair. Untuk jenis kunci lainnya, atribut ini tidak ada. Tidak Tidak
modulus-size-bits

Diperlukan untuk menghasilkan RSA key pair.

Nilai minimum adalah2048.

 Tidak Dapat diatur denganRSA, tidak dapat diatur dengan EC
never-extractable

Nilainya adalah True jika dapat diekstraksi belum pernah disetel keFalse.

Nilainya adalah False jika dapat diekstraksi pernah disetel keTrue.

 Tidak Tidak
private

Default: True

 Tidak Ya
public-exponent

Diperlukan untuk menghasilkan RSA key pair.

Nilai yang valid: Nilai harus berupa angka ganjil yang lebih besar dari atau sama dengan65537.

 Tidak Dapat diatur denganRSA, tidak dapat diatur dengan EC
sensitive

Default:

  • Nilainya True untuk AES kunci dan EC dan kunci RSA pribadi.

  • Nilainya False untuk EC dan kunci RSA publik.

 Tidak Dapat diatur dengan kunci pribadi, tidak dapat diatur dengan kunci publik.
sign

Default:

  • Nilainya True untuk AES kunci.

  • Nilainya False untuk RSA dan kunci EC.

 Ya Ya
token

Default: False

 Tidak Ya
trusted

Default: False

 Ya Tidak
unwrap Default: False Ya Ya
unwrap-template Nilai harus menggunakan templat atribut yang diterapkan untuk setiap kunci terbuka menggunakan kunci pembungkus ini. Ya Tidak
verify

Default:

  • Nilainya True untuk AES kunci.

  • Nilainya False untuk RSA dan kunci EC.

 Ya Ya
wrap Default: False Ya Ya
wrap-template Nilai harus menggunakan template atribut untuk mencocokkan kunci yang dibungkus menggunakan kunci pembungkus ini. Ya Tidak
wrap-with-trusted

Default: False

 Ya Ya

Detail Tambahan

Periksa nilai

Nilai cek adalah hash 3-byte atau checksum dari kunci yang dihasilkan saat HSM mengimpor atau menghasilkan kunci. Anda juga dapat menghitung nilai cek di luarHSM, seperti setelah Anda mengekspor kunci. Anda kemudian dapat membandingkan nilai nilai cek untuk mengkonfirmasi identitas dan integritas kunci. Untuk mendapatkan nilai cek kunci, gunakan daftar kunci dengan bendera verbose.

AWS CloudHSM menggunakan metode standar berikut untuk menghasilkan nilai cek:

  • Kunci simetris: 3 byte pertama hasil enkripsi blok nol dengan kunci.

  • Pasangan kunci asimetris: 3 byte pertama dari SHA -1 hash dari kunci publik.

  • HMACkeys: KCV untuk HMAC kunci tidak didukung saat ini.

Topik terkait