Meccanismi supportati per il JCE provider per il AWS CloudHSM Client SDK 3 - AWS CloudHSM
Funzioni di generazione chiavi e coppie di chiaviFunzioni di cifraturaFunzioni di firma e verificaFunzioni di digestFunzioni del codice di autenticazione dei messaggi basate su hash () HMACFunzioni del codice di autenticazione dei messaggi () basate su cipher CMACConverti le chiavi in specifiche chiave utilizzando le principali fabbricheAnnotazioni sui meccanismi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Meccanismi supportati per il JCE provider per il AWS CloudHSM Client SDK 3

Questo argomento fornisce informazioni sui meccanismi supportati per i JCE provider con AWS CloudHSM Client SDK 5. Per informazioni sulle interfacce e le classi di motori Java Cryptography Architecture (JCA) supportate da AWS CloudHSM, consultate i seguenti argomenti.

Funzioni di generazione chiavi e coppie di chiavi

La libreria AWS CloudHSM software per Java consente di utilizzare le seguenti operazioni per generare funzioni di chiavi e coppie di chiavi.

  • RSA

  • EC

  • AES

  • DESede (Triple DES)vedi nota1

  • GenericSecret

Funzioni di cifratura

La libreria AWS CloudHSM software per Java supporta le seguenti combinazioni di algoritmi, modalità e padding.

Algoritmo Modalità Padding Note
AES CBC

AES/CBC/NoPadding

AES/CBC/PKCS5Padding

Implementa Cipher.ENCRYPT_MODE e Cipher.DECRYPT_MODE.

Implementa Cipher.UNWRAP_MODE for AES/CBC NoPadding
AES ECB

AES/ECB/PKCS5Padding

AES/ECB/NoPadding

Implementa Cipher.ENCRYPT_MODE e Cipher.DECRYPT_MODE.
AES CTR

AES/CTR/NoPadding

Implementa Cipher.ENCRYPT_MODE e Cipher.DECRYPT_MODE.
AES GCM

AES/GCM/NoPadding

Implementa Cipher.WRAP_MODE, Cipher.UNWRAP_MODE, Cipher.ENCRYPT_MODE e Cipher.DECRYPT_MODE.

Quando esegue AES la GCM crittografia, HSM ignora il vettore di inizializzazione (IV) nella richiesta e utilizza un IV da essa generato. Al termine dell'operazione, è necessario chiamare Cipher.getIV() per ottenere il IV.
AESWrap ECB

AESWrap/ECB/NoPadding

AESWrap/ECB/PKCS5Padding

AESWrap/ECB/ZeroPadding

Implementa Cipher.WRAP_MODE e Cipher.UNWRAP_MODE.
DESede(Triplo) DES CBC

DESede/CBC/PKCS5Padding

DESede/CBC/NoPadding

Implementa Cipher.ENCRYPT_MODE e Cipher.DECRYPT_MODE. Vedi la nota 1 di seguito per una modifica imminente.
DESede(TriploDES) ECB

DESede/ECB/NoPadding

DESede/ECB/PKCS5Padding

Implementa Cipher.ENCRYPT_MODE e Cipher.DECRYPT_MODE. Vedi la nota 1 di seguito per una modifica imminente.
RSA ECB

RSA/ECB/PKCS1Padding vedi nota 1

RSA/ECB/OAEPPadding

RSA/ECB/OAEPWithSHA-1ANDMGF1Padding

RSA/ECB/OAEPWithSHA-224ANDMGF1Padding

RSA/ECB/OAEPWithSHA-256ANDMGF1Padding

RSA/ECB/OAEPWithSHA-384ANDMGF1Padding

RSA/ECB/OAEPWithSHA-512ANDMGF1Padding

Implementa Cipher.WRAP_MODE, Cipher.UNWRAP_MODE, Cipher.ENCRYPT_MODE e Cipher.DECRYPT_MODE.
RSA ECB

RSA/ECB/NoPadding

Implementa Cipher.ENCRYPT_MODE e Cipher.DECRYPT_MODE.
RSAAESWrap ECB

RSAAESWrap/ECB/OAEPPadding

RSAAESWrap/ECB/OAEPWithSHA-1ANDMGF1Padding

RSAAESWrap/ECB/OAEPWithSHA-224ANDMGF1Padding

RSAAESWrap/ECB/OAEPWithSHA-256ANDMGF1Padding

RSAAESWrap/ECB/OAEPWithSHA-384ANDMGF1Padding

RSAAESWrap/ECB/OAEPWithSHA-512ANDMGF1Padding

Implementa Cipher.WRAP_MODE e Cipher.UNWRAP_MODE.

Funzioni di firma e verifica

La libreria AWS CloudHSM software per Java supporta i seguenti tipi di firma e verifica. Con Client SDK 5 e gli algoritmi di firma con hashing, i dati vengono sottoposti a hash localmente nel software prima di essere inviati al sistema HSM per la firma/verifica. Ciò significa che non vi è alcun limite alla dimensione dei dati che possono essere sottoposti a hash da. SDK

RSATipi di firma

  • NONEwithRSA

  • RSASSA-PSS

  • SHA1withRSA

  • SHA1withRSA/PSS

  • SHA1withRSAandMGF1

  • SHA224withRSA

  • SHA224withRSAandMGF1

  • SHA224withRSA/PSS

  • SHA256withRSA

  • SHA256withRSAandMGF1

  • SHA256withRSA/PSS

  • SHA384withRSA

  • SHA384withRSAandMGF1

  • SHA384withRSA/PSS

  • SHA512withRSA

  • SHA512withRSAandMGF1

  • SHA512withRSA/PSS

ECDSATipi di firma

  • NONEwithECDSA

  • SHA1withECDSA

  • SHA224withECDSA

  • SHA256withECDSA

  • SHA384withECDSA

  • SHA512withECDSA

Funzioni di digest

La libreria AWS CloudHSM software per Java supporta i seguenti digest di messaggi. Con Client SDK 5, i dati vengono sottoposti a hash localmente nel software. Ciò significa che non vi è alcun limite alla dimensione dei dati che possono essere sottoposti a hash da. SDK

  • SHA-1

  • SHA-224

  • SHA-256

  • SHA-384

  • SHA-512

Funzioni del codice di autenticazione dei messaggi basate su hash () HMAC

La libreria AWS CloudHSM software per Java supporta i seguenti HMAC algoritmi.

  • HmacSHA1(Dimensione massima dei dati in byte: 16288)

  • HmacSHA224(Dimensione massima dei dati in byte: 16256)

  • HmacSHA256(Dimensione massima dei dati in byte: 16288)

  • HmacSHA384(Dimensione massima dei dati in byte: 16224)

  • HmacSHA512(Dimensione massima dei dati in byte: 16224)

Funzioni del codice di autenticazione dei messaggi () basate su cipher CMAC

CMACs(Codici di autenticazione dei messaggi basati su crittografia) creano codici di autenticazione dei messaggi (MACs) utilizzando un codice a blocchi e una chiave segreta. Differiscono dal fatto che utilizzano un metodo HMACs a chiave simmetrica a blocchi anziché un metodo di hashing. MACs

La libreria AWS CloudHSM software per Java supporta i seguenti algoritmi. CMAC

  • AESCMAC

Converti le chiavi in specifiche chiave utilizzando le principali fabbriche

È possibile utilizzare le fabbriche di chiavi per convertire le chiavi in specifiche chiave. AWS CloudHSM dispone di due tipi di fabbriche chiave per: JCE

SecretKeyFactory: utilizzato per importare o derivare chiavi simmetriche. Utilizzando SecretKeyFactory, è possibile passare una chiave supportata o una chiave supportata KeySpec per importare o derivare chiavi simmetriche. AWS CloudHSM Di seguito sono riportate le specifiche supportate per: KeyFactory

  • Sono supportate le seguenti KeySpecclassi SecretKeyFactory del generateSecret metodo For:

    • KeyAttributesMappuò essere utilizzato per importare byte chiave con attributi aggiuntivi come Cloud Key. HSM Un esempio può essere trovato qui.

    • SecretKeySpecpuò essere usato per importare una specifica chiave simmetrica come Cloud Key. HSM

    • AesCmacKdfParameterSpecpuò essere usato per derivare chiavi simmetriche utilizzando un'altra Cloud Key. HSM AES

Nota

SecretKeyFactoryil translateKey metodo accetta qualsiasi chiave che implementa l'interfaccia chiave.

KeyFactory: utilizzato per importare chiavi asimmetriche. Utilizzando KeyFactory, è possibile passare una chiave supportata o supportata KeySpec per importare una chiave asimmetrica. AWS CloudHSM Per ulteriori informazioni, fai riferimento a queste risorse:

  • KeyFactoryIl generatePublic metodo di For, sono supportate le seguenti KeySpecclassi:

  • Cloud HSM KeyAttributesMap per entrambi RSA ed EC KeyTypes, tra cui:

  • KeyFactoryIl generatePrivate metodo di For, sono supportate KeySpecle seguenti classi:

  • Cloud HSM KeyAttributesMap per entrambi RSA ed EC KeyTypes, tra cui:

KeyFactoryIl translateKey metodo di For, accetta qualsiasi chiave che implementa l'interfaccia chiave.

Annotazioni sui meccanismi

[1] Secondo le NIST linee guida, ciò non è consentito per i cluster in FIPS modalità dopo il 2023. Per i cluster non in FIPS modalità, è ancora consentito dopo il 2023. Per informazioni dettagliate, vedi FIPS140 Conformità: obsolescenza del meccanismo 2024.