Menghasilkan sebuah AWS CloudHSM DSA key pair menggunakan KMU - AWS CloudHSM
SintaksContohParameterTopik terkait

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menghasilkan sebuah AWS CloudHSM DSA key pair menggunakan KMU

Gunakan genDSAKeyPair perintah di alat AWS CloudHSM key_mgmt_util untuk menghasilkan key DSA pair Digital Signing Algorithm () dalam modul keamanan perangkat keras Anda (). HSM Anda harus menentukan panjang modulus; perintah menghasilkan nilai modulus. Anda juga dapat menetapkan ID, berbagi kunci dengan HSM pengguna lain, membuat kunci yang tidak dapat diekstraksi, dan membuat kunci yang kedaluwarsa saat sesi berakhir. Ketika perintah berhasil, ia mengembalikan pegangan kunci yang diberikan HSM ke kunci publik dan pribadi. Anda dapat menggunakan handel kunci untuk mengidentifikasi kunci untuk perintah lain.

Sebelum Anda menjalankan perintah key_mgmt_util, Anda harus memulai key_mgmt_util dan masuk ke as a crypto user (CU). HSM

Tip

Untuk menemukan atribut kunci yang telah Anda buat, seperti tipe, panjang, label, dan ID, gunakan getAttribute. Untuk menemukan kunci untuk pengguna tertentu, gunakan getKeyInfo. Untuk menemukan kunci berdasarkan nilai atributnya, gunakan findKey.

Sintaks

genDSAKeyPair -h

genDSAKeyPair -m <modulus length> 
              -l <label> 
              [-id <key ID>] 
              [-min_srv <minimum number of servers>] 
              [-m_value <0..8>]
              [-nex] 
              [-sess] 
              [-timeout <number of seconds> ]
              [-u <user-ids>] 
              [-attest]

Contoh

Contoh-contoh ini menunjukkan cara menggunakan genDSAKeyPair untuk membuat DSA key pair.

contoh : Buat DSA key pair

Perintah ini membuat DSA key pair dengan DSA label. Output menunjukkan bahwa handel kunci dari kunci publik adalah 19 dan handel kunci privat adalah 21.

Command: genDSAKeyPair -m 2048 -l DSA

        Cfm3GenerateKeyPair: returned: 0x00 : HSM Return: SUCCESS

        Cfm3GenerateKeyPair:    public key handle: 19    private key handle: 21

        Cluster Error Status
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
contoh : Buat key pair khusus sesi DSA

Perintah ini menciptakan DSA key pair yang hanya valid di sesi saat ini. Perintah menetapkan ID unik DSA_temp_pair sebagai tambahan untuk label (non-unik) yang diperlukan. Anda mungkin ingin membuat pasangan kunci seperti ini untuk menandatangani dan memverifikasi token hanya sesi. Output menunjukkan bahwa handel kunci dari kunci publik adalah 12 dan handel kunci privat adalah 14.

Command: genDSAKeyPair -m 2048 -l DSA-temp -id DSA_temp_pair -sess

        Cfm3GenerateKeyPair: returned: 0x00 : HSM Return: SUCCESS

        Cfm3GenerateKeyPair:    public key handle: 12    private key handle: 14

        Cluster Error Status
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

Untuk mengonfirmasi bahwa key pair hanya ada di sesi, gunakan -sess parameter findKeydengan nilai 1 (true).

  Command: findKey -sess 1

  Total number of keys present 2

 number of keys matched from start index 0::1
12, 14

        Cluster Error Status
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

        Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS
contoh : Buat key pair bersama yang tidak dapat diekstrak DSA

Perintah ini menciptakan sebuah DSA key pair. Kunci pribadi dibagikan dengan tiga pengguna lain, dan tidak dapat diekspor dari. HSM Kunci publik dapat digunakan oleh setiap pengguna dan selalu dapat diekstraksi. 

        Command:  genDSAKeyPair -m 2048 -l DSA -id DSA_shared_pair -nex -u 3,5,6

        Cfm3GenerateKeyPair: returned: 0x00 : HSM Return: SUCCESS

        Cfm3GenerateKeyPair:    public key handle: 11    private key handle: 19

        Cluster Error Status
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
contoh : Buat key pair yang dikendalikan kuorum

Perintah ini membuat DSA key pair dengan labelDSA-mV2. Perintah menggunakan parameter -u untuk berbagi kunci privat dengan pengguna 4 dan 6. Perintah menggunakan parameter -m_value untuk memerlukan kuorum setidaknya dua persetujuan untuk setiap operasi kriptografi yang menggunakan kunci privat. Perintah ini juga menggunakan parameter -attest untuk memverifikasi integritas firmware tempat pasangan kunci dihasilkan.

Output menunjukkan bahwa perintah menghasilkan kunci publik dengan handel kunci 12dan kunci privat dengan handel kunci 17, dan bahwa pemeriksaan pengesahan pada firmware klaster diteruskan.


        Command:  genDSAKeyPair -m 2048 -l DSA-mV2 -m_value 2 -u 4,6 -attest

        Cfm3GenerateKeyPair: returned: 0x00 : HSM Return: SUCCESS

        Cfm3GenerateKeyPair:    public key handle: 12    private key handle: 17

        Attestation Check : [PASS]

        Cluster Error Status
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

Perintah ini menggunakan getKeyInfopada kunci pribadi (pegangan kunci17). Output menegaskan bahwa kunci dimiliki oleh pengguna saat ini (pengguna 3) dan bahwa itu dibagi dengan pengguna 4 dan 6 (dan tidak ada orang lain). Output juga menunjukkan bahwa autentikasi kuorum diaktifkan dan ukuran kuorum adalah dua.


        Command:  getKeyInfo -k 17

        Cfm3GetKey returned: 0x00 : HSM Return: SUCCESS

        Owned by user 3

        also, shared to following 2 user(s):

                 4
                 6
         2 Users need to approve to use/manage this key

Parameter

-h

Menampilkan bantuan untuk perintah.

Wajib: Ya

-m

Menentukan panjang modulus dalam bit. Satu-satunya nilai yang valid adalah 2048.

Wajib: Ya

-l

Menentukan label yang ditetapkan pengguna untuk pasangan kunci. Ketik string. Label yang sama berlaku untuk kedua kunci dalam pasangan. Ukuran maksimum yang diijinkan label adalah 127 karakter.

Anda dapat menggunakan frasa apa pun yang membantu Anda mengidentifikasi kunci. Karena label tidak harus unik, Anda dapat menggunakannya pada grup dan mengelompokkan kunci.

Wajib: Ya

-id

Menentukan pengenal yang ditetapkan pengguna untuk pasangan kunci. Ketik string yang unik dalam klaster. Default-nya adalah string kosong. ID yang Anda tentukan berlaku untuk kedua kunci dalam pasangan.

Default: Tidak ada nilai ID.

Wajib: Tidak

-min_srv

Menentukan jumlah minimum HSMs di mana kunci disinkronkan sebelum nilai -timeout parameter berakhir. Jika kunci tidak disinkronkan ke jumlah tertentu server dalam waktu yang ditentukan, kunci tidak dibuat.

AWS CloudHSM secara otomatis menyinkronkan setiap kunci ke setiap HSM di cluster. Untuk mempercepat proses Anda, tetapkan nilai kurang dari jumlah HSMs di cluster dan tetapkan nilai batas waktu yang rendah. min_srv Namun, perhatikan bahwa beberapa permintaan mungkin tidak menghasilkan kunci.

Default: 1

Wajib: Tidak

-m_value

Menentukan jumlah pengguna yang harus menyetujui operasi kriptografi yang menggunakan kunci privat pada pasangan. Ketik nilai dari 0 sampai 8.

Parameter ini menetapkan persyaratan autentikasi kuorum untuk kunci privat. Nilai default, 0, menonaktifkan fitur autentikasi kuorum untuk kunci. Ketika autentikasi kuorum diaktifkan, pengguna dalam jumlah tertentu harus menandatangani token untuk menyetujui operasi kriptografi yang menggunakan kunci privat, dan operasi yang berbagi atau batal berbagi kunci privat.

Untuk menemukan kunci, gunakan getKeyInfo. m_value

Parameter ini hanya valid jika parameter -u dalam perintah membagikan pasangan kunci dengan cukup pengguna untuk memenuhi persyaratan m_value.

Default: 0

Wajib: Tidak

-nex

Membuat kunci privat yang tidak dapat diesktrak. Kunci pribadi yang dihasilkan tidak dapat diekspor dari. HSM Kunci publik selalu dapat diekstrak.

Default: Kedua kunci publik dan privat dalam pasangan kunci dapat diekstrak.

Wajib: Tidak

-sess

Membuat kunci yang hanya ada di sesi saat ini. Kunci tidak dapat dipulihkan setelah sesi berakhir.

Gunakan parameter ini ketika Anda memerlukan kunci hanya sebentar, seperti kunci pembungkus yang mengenkripsi, dan kemudian dengan cepat mendekripsi, kunci lain. Jangan gunakan kunci sesi untuk mengenkripsi data yang mungkin perlu Anda dekripsi setelah sesi berakhir.

Untuk mengubah kunci sesi menjadi kunci persisten (token), gunakan setAttribute.

Default: Kunci persisten.

Wajib: Tidak

-timeout

Menentukan berapa lama (dalam detik) perintah menunggu kunci untuk disinkronkan dengan jumlah yang HSMs ditentukan oleh parameter. min_srv

Parameter ini hanya valid jika parameter min_srv juga digunakan dalam perintah.

Default: Tidak ada waktu habis. Perintah menunggu tanpa batas waktu dan kembali hanya ketika kunci disinkronkan ke jumlah minimum server.

Wajib: Tidak

-u

Berbagi kunci privat pada pasangan dengan pengguna tertentu. Parameter ini memberikan izin kepada pengguna HSM kripto lainnya (CUs) untuk menggunakan kunci pribadi dalam operasi kriptografi. Kunci publik dapat digunakan oleh pengguna tanpa berbagi.

Ketik daftar HSM pengguna yang dipisahkan komaIDs, seperti -. u 5,6 Jangan sertakan ID HSM pengguna pengguna saat ini. Untuk menemukan HSM pengguna IDs CUs diHSM, gunakan listUsers. Untuk berbagi dan membatalkan berbagi kunci yang ada, gunakan shareKeydi cloudhsm_mgmt_util.

Default: Hanya pengguna saat ini dapat menggunakan kunci privat.

Wajib: Tidak

-attest

Menjalankan pemeriksaan integritas yang memverifikasi bahwa firmware tempat klaster berjalan belum dirusak.

Default: Tidak ada pemeriksaan pengesahan.

Wajib: Tidak

Topik terkait