Algoritmi supportati Utilizzo del key wrap in AES AWS CloudHSM

Confezionamento delle chiavi AES AWS CloudHSM

Questo argomento descrive le opzioni per il key wrapping in AWS CloudHSM AES. Il wrapping della chiave AES utilizza una chiave AES (la chiave di wrapping) per eseguire il wrapping di un'altra chiave di qualsiasi tipo (la chiave di destinazione). Il wrapping della chiave viene utilizzato per proteggere le chiavi archiviate o trasmettere le chiavi su reti non sicure.

Argomenti

Algoritmi supportati
Utilizzo del key wrap in AES AWS CloudHSM

Algoritmi supportati

AWS CloudHSM offre tre opzioni per il confezionamento delle chiavi AES, ognuna basata su come la chiave di destinazione viene riempita prima di essere inserita. Il padding viene eseguito automaticamente, in conformità con l'algoritmo in uso, quando si chiama il wrapping della chiave. Nella tabella seguente sono elencati gli algoritmi supportati e i dettagli associati che consentono di scegliere un meccanismo di wrapping appropriato per l'applicazione.

Algoritmo Wrapping Chiave AES	Specifiche	Tipi di chiavi di destinazione supportati	Schema di padding	AWS CloudHSM Disponibilità del cliente
AES Wrapping Chiavi con Zero Padding	RFC 5649 e SP 800 - 38F	Tutti	Aggiunge zeri dopo i bit chiave, se necessario, per bloccare l'allineamento	SDK 3.1 e versioni successive
Wrapping Chiavi AES senza Padding	RFC 3394 e SP 800 - 38F	Tasti allineati a blocchi come AES e 3DES	Nessuno	SDK 3.1 e versioni successive
AES Wrapping Chiavi con Padding PKCS #5	Nessuno	Tutti	Almeno 8 byte vengono aggiunti come da schema di riempimento PKCS #5 per bloccare l'allineamento	Tutti

Per informazioni su come utilizzare gli algoritmi Wrapping Chiavi AES della tabella precedente nell'applicazione, vedi la sezione Utilizzo di AES Key Wrap in AWS CloudHSM.

Comprensione dei vettori di inizializzazione in Wrapping Chiavi AES

Prima di eseguire il wrapping, CloudHSM aggiunge un vettore di inizializzazione (IV) alla chiave di destinazione per l'integrità dei dati. Ogni algoritmo di wrapping delle chiavi dispone di restrizioni specifiche sul tipo di IV consentito. Per impostare l'IV AWS CloudHSM, hai due opzioni:

Implicito: impostare IV su NULLA e CloudHSM utilizza il valore predefinito di tale algoritmo per eseguire le operazioni di wrapping e annullamento del wrapping (scelta consigliata)
Esplicito: impostare IV passando il valore IV predefinito alla funzione di wrapping delle chiavi

Importante

È necessario capire quale IV è utilizzato nell'applicazione. Per annullare il wrapping delle chiavi, è necessario fornire lo stesso IV utilizzato per eseguire il wrapping delle chiavi. Se si utilizza un IV implicito per eseguire il wrapping, utilizzare un IV implicito per annullare il wrapping. Con un IV implicito, CloudHSM utilizzerà il valore predefinito per annullare il wrapping.

Nella tabella seguente vengono descritti i valori consentiti per IV, specificati dall'algoritmo di wrapping.

Algoritmo per Wrapping Chiavi AES	IV implicito	IV esplicito
Wrapping Chiavi AES con Zero Padding	Richiesto Valore predefinito: (IV calcolato internamente in base alle specifiche)	Non consentito
Wrapping Chiavi AES AES con Zero Padding	Consentito (scelta consigliata) Valore predefinito: `0xA6A6A6A6A6A6A6A6`	Consentito Unico valore accettato: `0xA6A6A6A6A6A6A6A6`
Wrapping Chiavi AES con Padding PKCS #5	Consentito (scelta consigliata) Valore predefinito: `0xA6A6A6A6A6A6A6A6`	Consentito Unico valore accettato: `0xA6A6A6A6A6A6A6A6`

Utilizzo del key wrap in AES AWS CloudHSM

Le operazioni di wrapping e annullamento del wrapping delle chiavi vengono eseguite come descritto di seguito:

Nella libreria PCKS #11, seleziona il meccanismo appropriato per le funzioni C_WrapKey e C_UnWrapKey, come illustrato nella tabella seguente.
Nel provider JCE, seleziona la combinazione di algoritmo, modalità e riempimento appropriata, implementando metodi di cifratura Cipher.WRAP_MODE e Cipher.UNWRAP_MODE come mostrato nella tabella seguente.
Nella CLI di CloudHSM, scegli l'algoritmo appropriato dall'elenco degli algoritmi e Il comando key wrap in Cloud HSM CLI degli algoritmi Il comando key unwrap in Cloud HSM CLI supportati, come mostrato nella tabella seguente.
In key_mgmt_util (KMU), utilizza i comandi Esporta AWS CloudHSM qualsiasi chiave utilizzando KMU e Scartare qualsiasi AWS CloudHSM chiave usando KMU con valori m appropriati, come illustrato nella tabella seguente.

Algoritmo Wrapping Chiavi AES	Meccanismo PKCS #11	Metodo Java	Sottocomando CLI CloudHSM	Argomento della Key Management Utility (KMU)
Wrapping Chiavi AES con Zero Padding	`CKM_CLOUDHSM_AES_KEY_WRAP_ZERO_PAD` (Meccanismo definito dal fornitore)	`AESWrap/ECB/ZeroPadding`	aes-zero-pad	m = 6
Wrapping Chiavi AES senza Padding	`CKM_CLOUDHSM_AES_KEY_WRAP_NO_PAD` (Meccanismo definito dal fornitore)	`AESWrap/ECB/NoPadding`	aes-no-pad	m = 5
Wrapping Chiavi AES con Padding PKCS #5	`CKM_CLOUDHSM_AES_KEY_WRAP_PKCS5_PAD` (Meccanismo definito dal fornitore)	`AESWrap/ECB/PKCS5Padding`	aes-pkcs5-pad	m = 4

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Sincronizzare le chiavi in cluster clonati

Chiavi attendibili