Cara menggunakan kunci tepercaya untuk membungkus kunci data AWS CloudHSM - AWS CloudHSM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara menggunakan kunci tepercaya untuk membungkus kunci data AWS CloudHSM

Untuk menggunakan kunci tepercaya untuk membungkus kunci data AWS CloudHSM, Anda harus menyelesaikan tiga langkah dasar:

  1. Untuk kunci data yang Anda rencanakan untuk dibungkus dengan kunci tepercaya, atur CKA_WRAP_WITH_TRUSTED atributnya ke true.

  2. Untuk kunci tepercaya yang Anda rencanakan untuk membungkus kunci data, atur CKA_TRUSTED atributnya ke true.

  3. Gunakan kunci tepercaya untuk membungkus kunci data.

Langkah 1: Atur kunci data CKA_WRAP_WITH_TRUSTED ke true

Untuk kunci data yang ingin Anda bungkus, pilih salah satu opsi berikut untuk mengatur CKA_WRAP_WITH_TRUSTED atribut kunci ke true. Melakukan hal ini membatasi kunci data sehingga aplikasi hanya dapat menggunakan kunci tepercaya untuk membungkusnya.

Opsi 1: Jika menghasilkan kunci baru, atur CKA_WRAP_WITH_TRUSTED ke true

Buat kunci menggunakan PKCS #11, JCE, atau CloudHSM CLI. Lihat contoh berikut untuk lebih jelasnya.

PKCS #11

Untuk menghasilkan kunci dengan PKCS #11, Anda perlu menyetel CKA_WRAP_WITH_TRUSTED atribut kunci ke true. Seperti yang ditunjukkan dalam contoh berikut, lakukan ini dengan memasukkan atribut ini dalam kunci CK_ATTRIBUTE template dan kemudian mengatur atribut ke true:

CK_BYTE_PTR label = "test_key"; CK_ATTRIBUTE template[] = { {CKA_WRAP_WITH_TRUSTED, &true_val, sizeof(CK_BBOOL)}, {CKA_LABEL, label, strlen(label)}, ... };

Untuk informasi selengkapnya, lihat sampel publik kami yang mendemonstrasikan pembuatan kunci dengan PKCS #11.

JCE

Untuk menghasilkan kunci dengan JCE, Anda perlu mengatur WRAP_WITH_TRUSTED atribut kunci ke true. Seperti yang ditunjukkan dalam contoh berikut, lakukan ini dengan memasukkan atribut ini dalam kunci KeyAttributesMap dan kemudian mengatur atribut ke true:

final String label = "test_key"; final KeyAttributesMap keySpec = new KeyAttributesMap(); keySpec.put(KeyAttribute.WRAP_WITH_TRUSTED, true); keySpec.put(KeyAttribute.LABEL, label); ...

Untuk informasi lebih lanjut, lihat sampel publik kami yang mendemonstrasikan pembuatan kunci dengan JCE.

CloudHSM CLI

Untuk menghasilkan kunci dengan CloudHSM CLI, Anda perlu mengatur atribut kunci ke true. wrap-with-trusted Lakukan ini dengan memasukkan wrap-with-trusted=true argumen yang sesuai untuk perintah pembuatan kunci:

  • Untuk kunci simetris, wrap-with-trusted tambahkan attributes argumen.

  • Untuk kunci publik, wrap-with-trusted tambahkan public-attributes argumen.

  • Untuk kunci pribadi, wrap-with-trusted tambahkan private-attributes argumen.

Untuk informasi selengkapnya tentang pembuatan key pair, lihat generate-asymmetric-pairKategori di CloudHSM CLI.

Untuk informasi lebih lanjut tentang pembuatan kunci simetris, lihatKategori generate-simetris di CloudHSM CLI.

Opsi 2: Jika menggunakan kunci yang ada, gunakan CloudHSM CLI untuk menyetelnya ke true CKA_WRAP_WITH_TRUSTED

Untuk menyetel CKA_WRAP_WITH_TRUSTED atribut kunci yang ada ke true, ikuti langkah-langkah berikut:

  1. Gunakan Masuk ke HSM menggunakan CloudHSM CLI perintah untuk masuk sebagai pengguna kripto (CU).

  2. Gunakan Mengatur atribut kunci dengan CloudHSM CLI perintah untuk mengatur wrap-with-trusted atribut kunci ke true.

    aws-cloudhsm > key set-attribute --filter attr.label=test_key --name wrap-with-trusted --value true { "error_code": 0, "data": { "message": "Attribute set successfully" } }

Langkah 2: Atur kunci tepercaya CKA_TRUSTED ke true

Untuk membuat kunci menjadi kunci tepercaya, CKA_TRUSTED atributnya harus disetel ke true. Anda dapat menggunakan CloudHSM CLI atau CloudHSM Management Utility (CMU) untuk melakukan ini.

Langkah 3. Gunakan kunci tepercaya untuk membungkus kunci data

Untuk membungkus kunci data yang direferensikan di Langkah 1 dengan kunci tepercaya yang Anda tetapkan di Langkah 2, lihat tautan berikut untuk contoh kode. Masing-masing menunjukkan cara membungkus kunci.