Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mekanisme yang didukung untuk AWS CloudHSM Klien SDK 3
Pustaka PKCS #11 mendukung algoritme berikut untuk AWS CloudHSM Klien SDK 3:
-
Enkripsi dan dekripsi — AES -CBC, AES -CTR, AES -ECB, AES -GCM, -, DES3 -CBC, DES3 -ECB, dan RSA - OAEP RSA PKCS
-
Tanda tangani dan verifikasi — RSAHMAC,, danECDSA; dengan dan tanpa hashing
-
Hash/digest —SHA1,,,SHA224, dan SHA256 SHA384 SHA512
-
Bungkus AES kunci — Key WrapGCM, 4AESRSA-, -AES, dan RSA - OAEP
-
Derivasi kunci —ECDH, 00-108 5SP8CTRKDF
PKCSTabel fungsi mekanisme perpustakaan #11
Pustaka PKCS #11 sesuai dengan spesifikasi PKCS #11 versi 2.40. Untuk memanggil fitur kriptografi menggunakan PKCS #11, panggil fungsi dengan mekanisme tertentu. Tabel berikut merangkum kombinasi fungsi dan mekanisme yang didukung oleh AWS CloudHSM.
Menafsirkan tabel mekanisme-fungsi PKCS #11 yang didukung
Tanda ✔ menunjukkan bahwa AWS CloudHSM mendukung mekanisme untuk fungsi tersebut. Kami tidak mendukung semua kemungkinan fungsi yang tercantum dalam spesifikasi PKCS #11. Tanda ✖ menunjukkan bahwa AWS CloudHSM belum mendukung mekanisme untuk fungsi yang diberikan, meskipun standar PKCS #11 mengizinkannya. Sel kosong menunjukkan bahwa standar PKCS #11 tidak mendukung mekanisme untuk fungsi yang diberikan.
Mekanisme |
Fungsi |
||||||
---|---|---|---|---|---|---|---|
|
Hasilkan Kunci atau Pasangan kunci |
Tandatangani & Verifikasi |
SR & VR |
Intisari |
Enkripsi & Dekripsi |
Turunkan Kunci |
Bungkus & UnWrap |
|
✔ |
|
|
|
|
|
|
|
✔2 |
|
|
|
|
|
|
|
|
✔ |
|
|
✔ |
|
|
|
✔1 | ✖ | ✔1 |
|
✔1 | ||
|
|
|
|
|
✔1 |
|
✔6 |
|
|
✔3.2 |
|
|
|
|
|
|
|
✔3.2 |
|
|
|
|
|
|
|
✔3.2 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
✔3.2 |
|
|
|
|
|
|
|
✔1 |
|
|
|
|
|
|
|
✔3.2 |
|
|
|
|
|
|
|
✔3.2 |
|
|
|
|
|
|
|
✔3.2 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
✔3.2 |
|
|
|
|
|
|
✔ |
|
|
|
|
|
|
|
|
✔1 |
|
|
|
|
|
|
|
✔3.2 |
|
|
|
|
|
|
|
✔3.2 |
|
|
|
|
|
|
|
✔3.2 |
|
|
|
|
|
|
|
✔3.2 |
|
|
|
|
|
|
|
✔3.2 |
|
|
|
|
|
|
|
|
|
|
|
✔5 |
|
|
|
|
|
|
|
✔ |
|
|
✔ |
|
|
|
|
|
|
|
✔ |
|
|
|
|
|
|
|
|
|
|
|
✔ |
|
✖ |
|
|
|
|
|
✔ |
|
✖ |
|
|
|
|
|
✔3.3 |
|
✖ |
|
|
|
|
|
✔ |
|
✖ |
|
✔ |
|
|
|
|
|
|
|
|
|
|
|
✔3.3 |
|
✖ |
|
|
|
|
|
✔ |
|
✖ |
|
|
|
|
|
✔ |
|
✖ |
|
|
|
|
|
|
✔7.1 |
|
|
|
|
|
|
✔7.1 |
|
✔7.1 |
|
|
|
|
✔3.1 |
|
|
|
|
|
✔3.3 |
|
|
|
|
|
|
|
|
|
✔3.1 |
|
|
|
|
|
✔3.3 |
|
|
|
|
|
|
|
|
|
✔3.1 |
|
|
|
|
|
✔3.3 |
|
|
|
|
|
|
|
|
|
✔3.1 |
|
|
|
|
|
✔3.3 |
|
|
|
|
|
|
|
|
|
✔3.1 |
|
|
|
|
|
✔3.3 |
|
|
|
|
|
|
|
|
|
|
|
|
✔ |
|
|
|
|
|
|
|
✔ |
|
|
|
|
|
|
|
✔ |
|
|
|
|
|
|
|
✔7.1 |
|
|
|
|
|
|
|
✔7.1 |
|
|
|
|
|
|
|
✔7.1 |
Anotasi mekanisme
-
[1] Operasi satu bagian saja.
-
[2] Mekanisme secara fungsional identik dengan mekanisme
CKM_RSA_PKCS_KEY_PAIR_GEN
, tetapi menawarkan jaminan lebih kuat untuk pembuatanp
danq
. [3.1] AWS CloudHSM pendekatan hashing secara berbeda berdasarkan KlienSDK. Untuk Klien SDK 3, di mana kami melakukan hashing tergantung pada ukuran data dan apakah Anda menggunakan operasi satu bagian atau multibagian.
Operasi satu bagian di Klien 3 SDK
Tabel 3.1 mencantumkan ukuran kumpulan data maksimum untuk setiap mekanisme untuk Klien SDK 3. Seluruh hash dihitung di dalam file. HSM Tidak ada dukungan untuk ukuran data yang lebih besar dari 16 KB.
Tabel 3.1, Ukuran set data maksimum untuk operasi satu bagian Mekanisme Ukuran Data Maksimum CKM_SHA_1
16296 CKM_SHA224
16264 CKM_SHA256
16296 CKM_SHA384
16232 CKM_SHA512
16232 Operasi multipart Klien 3 SDK
Dukungan untuk ukuran data lebih besar dari 16 KB, tetapi ukuran data menentukan tempat hashing berlangsung. Buffer data kurang dari 16 KB di-hash di dalam file. HSM Penyangga antara 16 KB dan ukuran data maksimum untuk sistem Anda di-hash secara lokal dalam perangkat lunak. Ingat: Fungsi hash tidak memerlukan rahasia kriptografi, sehingga Anda dapat dengan aman menghitungnya di luar. HSM
[3.2] AWS CloudHSM mendekati hashing secara berbeda berdasarkan KlienSDK. Untuk Klien SDK 3, di mana kami melakukan hashing tergantung pada ukuran data dan apakah Anda menggunakan operasi satu bagian atau multibagian.
Operasi satu bagian Klien 3 SDK
Tabel 3.2 mencantumkan ukuran kumpulan data maksimum untuk setiap mekanisme untuk Klien SDK 3. Tidak ada dukungan untuk ukuran data yang lebih besar dari 16 KB.
Tabel 3.2, Ukuran set data maksimum untuk operasi satu bagian Mekanisme Ukuran Data Maksimum CKM_SHA1_RSA_PKCS
16296 CKM_SHA224_RSA_PKCS
16264 CKM_SHA256_RSA_PKCS
16296 CKM_SHA384_RSA_PKCS
16232 CKM_SHA512_RSA_PKCS
16232 CKM_SHA1_RSA_PKCS_PSS
16296 CKM_SHA224_RSA_PKCS_PSS
16264 CKM_SHA256_RSA_PKCS_PSS
16296 CKM_SHA384_RSA_PKCS_PSS
16232 CKM_SHA512_RSA_PKCS_PSS
16232 CKM_ECDSA_SHA1
16296 CKM_ECDSA_SHA224
16264 CKM_ECDSA_SHA256
16296 CKM_ECDSA_SHA384
16232 CKM_ECDSA_SHA512
16232 Operasi multipart Klien 3 SDK
Dukungan untuk ukuran data lebih besar dari 16 KB, tetapi ukuran data menentukan tempat hashing berlangsung. Buffer data kurang dari 16 KB di-hash di dalam file. HSM Penyangga antara 16 KB dan ukuran data maksimum untuk sistem Anda di-hash secara lokal dalam perangkat lunak. Ingat: Fungsi hash tidak memerlukan rahasia kriptografi, sehingga Anda dapat dengan aman menghitungnya di luar. HSM
[3.3] Ketika beroperasi pada data dengan menggunakan salah satu mekanisme berikut, jika penyangga data melebihi ukuran data maksimum, hasil operasi dalam kesalahan. Untuk mekanisme ini, semua pemrosesan data harus terjadi di dalamHSM. Tabel berikut mencantumkan set ukuran data maksimum untuk setiap mekanisme:
Tabel 3.3, Ukuran set data maksimum Mekanisme Ukuran Data Maksimum CKM_SHA_1_HMAC
16288 CKM_SHA224_HMAC
16256 CKM_SHA256_HMAC
16288 CKM_SHA384_HMAC
16224 CKM_SHA512_HMAC
16224 CKM_AES_CBC
16272 CKM_AES_GCM
16224 CKM_CLOUDHSM_AES_GCM
16224 CKM_DES3_CBC
16280 [4] Saat melakukan AES - GCM enkripsi, HSM tidak menerima data vektor inisialisasi (IV) dari aplikasi. Anda harus menggunakan IV yang dihasilkannya. IV 12-byte yang disediakan oleh HSM ditulis ke dalam referensi memori yang ditunjukkan oleh elemen PiV dari struktur parameter
CK_GCM_PARAMS
yang Anda berikan. Untuk mencegah kebingungan pengguna, PKCS #11 SDK di versi 1.1.1 dan yang lebih baru memastikan bahwa PiV menunjuk ke buffer AES yang dizeroisasi saat - enkripsi diinisialisasi. GCM-
[5] Klien SDK 3 saja. Mekanisme diimplementasikan SSL untuk mendukung kasus TLS offload dan dijalankan hanya sebagian di dalam. HSM Sebelum menggunakan mekanisme ini, lihat “Masalah: derivasi ECDH kunci dijalankan hanya sebagian di dalamHSM" inMasalah yang diketahui untuk pustaka PKCS #11 untuk AWS CloudHSM.
CKM_ECDH1_DERIVE
tidak mendukung kurva secp521r1 (P-521). [6]
CK_MECHANISM_TYPE
danCK_RSA_PKCS_MGF_TYPE
berikut didukung sebagaiCK_RSA_PKCS_OAEP_PARAMS
untukCKM_RSA_PKCS_OAEP
:-
CKM_SHA_1
menggunakanCKG_MGF1_SHA1
-
CKM_SHA224
menggunakanCKG_MGF1_SHA224
-
CKM_SHA256
menggunakanCKG_MGF1_SHA256
-
CKM_SHA384
menggunakanCKM_MGF1_SHA384
-
CKM_SHA512
menggunakanCKM_MGF1_SHA512
-
[7.1] Mekanisme yang ditentukan vendor. Untuk menggunakan mekanisme yang ditentukan HSM vendor Cloud, aplikasi PKCS #11 harus disertakan
/opt/cloudhsm/include/pkcs11t.h
selama kompilasi.CKM_CLOUDHSM_AES_GCM
: Mekanisme kepemilikan ini adalah alternatif pemrograman yang lebih aman untukCKM_AES_GCM
standar. Ini menambahkan IV yang dihasilkan oleh HSM ke ciphertext alih-alih menulisnya kembali keCK_GCM_PARAMS
struktur yang disediakan selama inisialisasi cipher. Anda dapat menggunakan mekanisme ini dengan fungsiC_Encrypt
,C_WrapKey
,C_Decrypt
, danC_UnwrapKey
. Bila menggunakan mekanisme ini, variabel pIV di strukCK_GCM_PARAMS
harus diatur keNULL
. Bila menggunakan mekanisme ini denganC_Decrypt
danC_UnwrapKey
, IV diharapkan akan ditambahkan ke ciphertext yang sedang dibuka.CKM_CLOUDHSM_AES_KEY_WRAP_PKCS5_PAD
: AES Key Wrap dengan PKCS #5 PaddingCKM_CLOUDHSM_AES_KEY_WRAP_ZERO_PAD
: Bungkus AES Kunci dengan Padding NolUntuk informasi tambahan mengenai pembungkus AES kunci, lihat Pembungkus AES Kunci.
[8] Sesuai dengan NIST panduan, ini tidak diizinkan untuk cluster dalam FIPS mode setelah 2023. Untuk cluster dalam FIPS mode non-mode, masih diperbolehkan setelah 2023. Lihat FIPS140 Kepatuhan: Penutupan Mekanisme 2024 untuk detail.