を使用してキーペアを生成する AWS CloudHSM DSA KMU - AWS CloudHSM
構文パラメータ関連トピック

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用してキーペアを生成する AWS CloudHSM DSA KMU

AWS CloudHSM key_mgmt_util ツールの genDSAKeyPair コマンドを使用して、ハードウェアセキュリティモジュール (DSA) でデジタル署名アルゴリズム () キーペアを生成しますHSM。ユーザーは、モジュラスの長さを指定する必要があります。モジュラスの値はコマンドで生成されます。ID の割り当て、HSM他のユーザーとキーの共有、抽出不可能なキーの作成、セッション終了時に期限切れになるキーの作成を行うこともできます。コマンドが成功すると、 がパブリックキーとプライベートキーHSMに割り当てるキー処理が返されます。このキーハンドルでキーを識別することで、他のコマンドでキーを使用できます。

key_mgmt_util コマンドを実行する前に、key_mgmt_util を起動し、暗号化ユーザー (CU) HSMとして にログインする必要があります。

ヒント

タイプ、長さ、ラベル、ID など、作成したキーの属性を検索するには、 を使用しますgetAttribute。特定のユーザーのキーを検索するには、 を使用しますgetKeyInfo。属性値に基づいてキーを検索するには、 を使用しますfindKey

構文

genDSAKeyPair -h

genDSAKeyPair -m <modulus length> 
              -l <label> 
              [-id <key ID>] 
              [-min_srv <minimum number of servers>] 
              [-m_value <0..8>]
              [-nex] 
              [-sess] 
              [-timeout <number of seconds> ]
              [-u <user-ids>] 
              [-attest]

これらの例は、 genDSAKeyPair を使用してDSAキーペアを作成する方法を示しています。

例 : DSAキーペアを作成する

このコマンドは、DSAラベルを持つDSAキーペアを作成します。出力は、パブリックキーのキーハンドルが 19、プライベートキーのキーハンドルが 21 であることを示しています。

Command: genDSAKeyPair -m 2048 -l DSA

        Cfm3GenerateKeyPair: returned: 0x00 : HSM Return: SUCCESS

        Cfm3GenerateKeyPair:    public key handle: 19    private key handle: 21

        Cluster Error Status
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
例 : セッションのみのDSAキーペアを作成する

このコマンドは、現在のセッションでのみ有効なDSAキーペアを作成します。コマンドは、必須の (一意でない) ラベルに加えて DSA_temp_pair の一意な ID を割り当てます。次のようなキーペアを作成して、セッション専用のトークンの署名および検証ができます。出力は、パブリックキーのキーハンドルが 12、プライベートキーのキーハンドルが 14 であることを示しています。

Command: genDSAKeyPair -m 2048 -l DSA-temp -id DSA_temp_pair -sess

        Cfm3GenerateKeyPair: returned: 0x00 : HSM Return: SUCCESS

        Cfm3GenerateKeyPair:    public key handle: 12    private key handle: 14

        Cluster Error Status
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

キーペアがセッションにのみ存在することを確認するには、 の -sess パラメータを 1 (true) の値findKeyで使用します。

  Command: findKey -sess 1

  Total number of keys present 2

 number of keys matched from start index 0::1
12, 14

        Cluster Error Status
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

        Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS
例 : 共有され、抽出不可能なDSAキーペアを作成する

このコマンドはDSAキーペアを作成します。プライベートキーは 3 人の他のユーザーと共有され、 からエクスポートすることはできませんHSM。パブリックキーは、すべてのユーザーが使用可能であり、常に抽出可能です。

        Command:  genDSAKeyPair -m 2048 -l DSA -id DSA_shared_pair -nex -u 3,5,6

        Cfm3GenerateKeyPair: returned: 0x00 : HSM Return: SUCCESS

        Cfm3GenerateKeyPair:    public key handle: 11    private key handle: 19

        Cluster Error Status
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
例 : クォーラム制御のキーペアを作成する

このコマンドは、ラベル を持つDSAキーペアを作成しますDSA-mV2。このコマンドでは、-u パラメータを使用してプライベートキーをユーザー 4 および 6 と共有します。-m_value パラメータを使用して、プライベートキーを使用する暗号化オペレーションごとに 2 つ以上の承認のクォーラムを要求します。また、-attest パラメータを使用して、キーペアを生成するファームウェアの整合性を検証します。

出力は、コマンドでキーハンドル 12 のパブリックキーとキーハンドル 17 のプライベートキーが生成され、クラスターファームウェアの認証チェックが合格であることを示しています。


        Command:  genDSAKeyPair -m 2048 -l DSA-mV2 -m_value 2 -u 4,6 -attest

        Cfm3GenerateKeyPair: returned: 0x00 : HSM Return: SUCCESS

        Cfm3GenerateKeyPair:    public key handle: 12    private key handle: 17

        Attestation Check : [PASS]

        Cluster Error Status
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

このコマンドは、プライベートキー (キーハンドル ) getKeyInfoで を使用します17。出力は、キーの所有者が現在のユーザー (ユーザー 3) であり、キーがユーザー 4 および 6 (それ以外はなし) と共有されていることを示しています。また、クォーラム認証が有効になっていて、クォーラムサイズが 2 であることも示しています。


        Command:  getKeyInfo -k 17

        Cfm3GetKey returned: 0x00 : HSM Return: SUCCESS

        Owned by user 3

        also, shared to following 2 user(s):

                 4
                 6
         2 Users need to approve to use/manage this key

パラメータ

-h

コマンドに関するヘルプを表示します。

必須:はい

-m

モジュラスの長さをビット単位で指定します。唯一の有効な値は 2048 です。

必須:はい

-I

キーペアのユーザー定義ラベルを指定します。文字列を入力します。同じラベルがペアの両方のキーに適用されます。label の最大長は 127 文字です。

キーを識別するのに役立つ任意のフレーズを使用できます。ラベルは一意である必要がないため、このラベルを使用してキーをグループ化および分類できます。

必須:はい

-id

キーペアのユーザー定義識別子 (ID) を指定します。クラスター内で一意の文字列を入力します。デフォルトは空の文字列です。指定した ID は、ペアの両方のキーに適用されます。

デフォルト: ID 値なし。

必須:いいえ

-min_srv

-timeout パラメータの値が期限切れになる前にキーが同期HSMsされる最小数を指定します。キーが割り当てられた時間内に指定された数のサーバーに同期されない場合は、作成されません。

AWS CloudHSM は、すべてのキーをクラスターHSM内のすべてのキーに自動的に同期します。プロセスを高速化するには、 min_srv の値をクラスターHSMs内の の数より小さく設定し、低いタイムアウト値を設定します。ただし、一部のリクエストでキーが生成されない場合があることに注意してください。

デフォルト: 1

必須:いいえ

-m_value

ペアの秘密キーを使用する暗号化オペレーションを承認する必要があるユーザーの数を指定します。0 から 8 までの値を入力します。

このパラメータにより、プライベートキーのクォーラム認証要件が確立されます。デフォルト値、0 で、キーのクォーラム認証機能を無効にします。クォーラム認証が有効になっている場合、指定された数のユーザーがトークンに署名して、プライベートキーを使用する暗号化オペレーション、およびプライベートキーを共有または共有解除するオペレーションを承認する必要があります。

キーm_valueの を検索するには、 を使用しますgetKeyInfo

このパラメーターは、コマンドの -u パラメーターが m_value 要件を満たすのに十分なユーザーとキーペアを共有している場合にのみ有効です。

デフォルト: 0

必須:いいえ

-nex

プライベートキーを抽出できなくなります。生成されたプライベートキーを からエクスポートHSMすることはできません。公開キーは常に抽出可能です。

デフォルト: キーペアの公開キーとプライベートキーの両方が抽出可能です。

必須:いいえ

-sess

現在のセッションにのみ存在するキーを作成します。セッション終了後、キーをリカバリすることはできません。

このパラメータは、別のキーを暗号化してからすばやく復号化するラッピングキーなど、キーが短時間だけ必要な場合に使用します。セッション終了後に復号する必要がある可能性のあるデータを暗号化するためにセッションキーを使用しないでください。

セッションキーを永続 (トークン) キーに変更するには、 を使用しますsetAttribute

デフォルト: キーは永続的です。

必須:いいえ

-timeout

コマンドがキーが min_srvパラメータでHSMs指定された数に同期されるまで待機する時間 (秒単位) を指定します。

このパラメータは、min_srv パラメータがコマンドでも使用されている場合にのみ有効です。

デフォルト: タイムアウトなし。このコマンドは無期限に待機し、キーが最小数のサーバーと同期されている場合にのみ戻ります。

必須:いいえ

-u

ペアのプライベートキーを指定されたユーザーと共有します。このパラメータは、HSM暗号化オペレーションでプライベートキーを使用するアクセス許可を他の暗号化ユーザー (CUs) に付与します。公開キーは、共有なしですべてのユーザーが使用可能です。

- などIDs、HSMユーザー のカンマ区切りリストを入力しますu 5,6。現在のHSMユーザーのユーザー ID を含めないでください。CUs で IDsのHSMユーザーを検索するにはHSM、 を使用しますlistUsers。既存のキーを共有および共有解除するには、cloudhsm_mgmt_util shareKeyで を使用します。

デフォルト: 現在のユーザーのみがプライベートキーを使用できます。

必須:いいえ

-attest

クラスターを実行するファームウェアが改ざんされていないことを確認する整合性チェックを実行します。

デフォルト: 認証チェックなし。

必須:いいえ

関連トピック