翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS CloudHSM KMU のキー属性リファレンス
AWS CloudHSM key_mgmt_util コマンドは定数を使用して、ハードウェアセキュリティモジュール (HSM) のキーの属性を表します。このトピックは、属性の識別、コマンドでその属性を表す定数の検索、およびその値の理解に役立ちます。
キーの作成時に、キー属性を設定します。キーが永続的であるかセッションにのみ存在するかを示すトークン属性を変更するには、key_mgmt_utilの setAttribute コマンドを使用します。ラベルを変更、属性をラップ、アンラップ、暗号化、または復号化するには、cloudhsm_mgmt_util の setAttributeコマンドを使用します。
属性とその定数のリストを取得するには、listAttributes を使用します。キーの属性値を取得するには、getAttribute を使用します。
次の表に、キーの属性、その定数、および有効な値を示します。
| 属性 | 定数 | 値 |
|---|---|---|
| OBJ_ATTR_ALL |
512 |
すべての属性を表します。 |
| OBJ_ATTR_ALWAYS_SENSITIVE |
357 |
0: False。 1: True。 |
| OBJ_ATTR_CLASS |
0 |
2 : 公開 - プライベートキーのキーペアの公開キー。 3 : 公開 - プライベートキーのキーペアの公開キー。4: シークレット (対称) キー。 |
| OBJ_ATTR_DECRYPT |
261 |
0: False。 1: True。キーはデータの復号に使用できます。 |
| OBJ_ATTR_DERIVE |
268 |
0: False。 1: True。この関数は、キーを派生させます。 |
| OBJ_ATTR_DESTROYABLE |
370 |
0: False。 1: True。 |
| OBJ_ATTR_ENCRYPT |
260 |
0: False。 1: True。キーはデータの暗号化に使用できます。 |
| OBJ_ATTR_EXTRACTABLE |
354 |
0: False。 1: True。キーは HSM からエクスポートできます。 |
| OBJ_ATTR_ID |
258 | ユーザー定義の文字列。クラスター内で一意である必要があります。デフォルトは空の文字列です。 |
| OBJ_ATTR_KCV |
371 |
キーのキーチェック値。詳細については、「その他の詳細」を参照してください。 |
| OBJ_ATTR_KEY_TYPE |
256 | 0: RSA。 1: DSA。 3: EC。 16: 汎用秘密。 18: RC4。 21: Triple DES (3DES)。 31: AES。 |
| OBJ_ATTR_LABEL |
3 |
ユーザー定義の文字列。クラスター内で一意である必要はありません。 |
| OBJ_ATTR_LOCAL |
355 |
0. False。キーは HSM にインポートされました。 1: True。 |
| OBJ_ATTR_MODULUS |
288 |
RSA キーペアを生成するために使用されたモジュラス。EC キーの場合、この値は ANSI X9.62 ECPoint 値「Q」の DER エンコーディングを 16 進数形式で表します。 他のキータイプの場合、この属性は存在しません。 |
| OBJ_ATTR_MODULUS_BITS |
289 |
RSA キーペアを生成するために使用されたモジュラスの長さ。EC キーの場合、これはキーの生成に使用された楕円曲線の ID を表します。 他のキータイプの場合、この属性は存在しません。 |
| OBJ_ATTR_NEVER_EXTRACTABLE |
356 |
0: False。 1: True。このキーは HSM からエクスポートできません。 |
| OBJ_ATTR_PUBLIC_EXPONENT |
290 |
RSA キーペアを生成するために使用された公開指数。 他のキータイプの場合、この属性は存在しません。 |
| OBJ_ATTR_PRIVATE |
2 |
0: False。 1: True。この属性は、認証されていないユーザーがキーの属性を表示できるかどうかを示します。CloudHSM PKCS#11 プロバイダーでは、現在パブリックセッションはサポートされていないため、すべてのキー (パブリックキーとプライベートキーのペアのパブリックキーを含む) のこの属性は 1 に設定されています。 |
| OBJ_ATTR_SENSITIVE |
259 |
0: False。公開 - プライベートキーのキーペアの公開キー。 1: True。 |
| OBJ_ATTR_SIGN |
264 |
0: False。 1: True。キーは署名 (プライベートキー) に使用できます。 |
| OBJ_ATTR_TOKEN |
1 |
0: False。セッションキー。 1: True。永続キー。 |
| OBJ_ATTR_TRUSTED |
134 |
0: False。 1: True。 |
| OBJ_ATTR_UNWRAP |
263 |
0: False。 1: True。キーはキーの復号に使用できます。 |
| OBJ_ATTR_UNWRAP_TEMPLATE |
1073742354 |
値は、このラッピングキーを使用してラップ解除されたキーに適用される属性テンプレートを使用する必要があります。 |
| OBJ_ATTR_VALUE_LEN |
353 |
キーの長さ (バイト単位) |
| OBJ_ATTR_VERIFY |
266 |
0: False。 1: True。キーは検証 (パブリックキー) に使用できます。 |
| OBJ_ATTR_WRAP |
262 |
0: False。 1: True。キーはキーの暗号化に使用できます。 |
| OBJ_ATTR_WRAP_TEMPLATE |
1073742353 |
値は、属性テンプレートを使用し、このラッピングキーでラップされたキーと一致させる必要があります。 |
| OBJ_ATTR_WRAP_WITH_TRUSTED |
528 |
0: False。 1: True。 |
その他の詳細
- キーチェック値 (KCV)。
キーチェック値 (KCV) は、HSM がキーをインポートまたは生成するときに生成されるキーの 3 バイトのハッシュまたはチェックサムです。キーをエクスポートした後など、HSM の外部で KCV を計算することもできます。次に、KCV 値を比較して、キーのアイデンティティと整合性を確認できます。キーの KCV を取得するには、getAttribute を使用します。
AWS CloudHSM は、次の標準メソッドを使用してキーチェック値を生成します。
-
対称キー: ゼロブロックをキーで暗号化した結果の最初の 3 バイト。
-
非対称キーペア: 公開キーの SHA-1 ハッシュの最初の 3 バイト。
-
HMAC キー: 現時点では HMAC キーの KCV はサポートされていません。
-
