AWS CloudHSM 클라이언트 SDK 3에 지원되는 Java 키 속성
이 주제에서는 Java 라이브러리 버전 3.1의 독점적 확장을 사용하여 AWS CloudHSM 클라이언트 SDK 3용 키 속성을 설정하는 방법에 대해 설명합니다. 이 확장을 사용하여 다음 작업 중에 지원되는 키 속성 및 해당 값을 설정할 수 있습니다:
키 생성
키 가져오기
키 언래핑
참고
사용자 지정 키 속성을 설정하기 위한 확장은 선택적 기능입니다. Java 라이브러리 버전 3.0에서 작동하는 코드가 이미 있으면 해당 코드를 수정할 필요가 없습니다. 사용자가 만든 키는 이전과 동일한 속성을 계속 포함합니다.
속성 이해
키 속성을 사용하여 공개 키, 개인 키 또는 보안 키를 포함하여 키 객체에 허용되는 작업을 지정합니다. 키 객체 생성 작업 중에 키 속성과 값을 정의합니다.
그러나 자바 암호화 확장 (JCE)는 키 속성에 대한 값을 설정하는 방법을 지정하지 않으므로 대부분의 작업이 기본적으로 허용되었습니다. 이와 반대로 PKCS# 11 표준은 더 제한적인 기본값을 가진 포괄적인 속성 집합을 정의합니다. Java 라이브러리 버전 3.1부터 CloudHSM은 일반적으로 사용되는 속성에 대해 보다 제한적인 값을 설정할 수 있는 독점적 확장을 제공합니다.
지원되는 속성
아래 표에 나열된 속성에 대한 값을 설정할 수 있습니다. 제한적으로 만들려는 속성의 값만 설정하는 것이 좋습니다. 값을 지정하지 않으면 CloudHSM은 아래 표에 지정된 기본값을 사용합니다. 기본값 열의 빈 셀은 속성에 할당된 특정 기본값이 없음을 나타냅니다.
| 속성 | 기본 값 | 참고 | ||
|---|---|---|---|---|
| 대칭 키 | 키 페어의 공개 키 | 키 페어의 개인 키 | ||
CKA_TOKEN |
FALSE |
FALSE |
FALSE |
클러스터의 모든 HSM에 복제되고 백업에 포함된 영구 키입니다. CKA_TOKEN = FALSE는 HSM 하나에만 로드되고 HSM에 대한 연결이 끊어지면 자동으로 지워지는 세션 키를 의미합니다. |
CKA_LABEL |
사용자 정의 문자열입니다. 이를 통해 HSM에서 키를 편리하게 식별할 수 있습니다. | |||
CKA_EXTRACTABLE |
TRUE |
TRUE |
True는 이 키를 HSM에서 내보낼 수 있음을 나타냅니다. | |
CKA_ENCRYPT |
TRUE |
TRUE |
True는 키를 사용하여 버퍼를 암호화할 수 있음을 나타냅니다. | |
CKA_DECRYPT |
TRUE |
TRUE |
True는 키를 사용하여 버퍼의 암호를 해독할 수 있음을 나타냅니다. 일반적으로 CKA_WRAP이 true로 설정된 키의 경우 FALSE로 설정됩니다. | |
CKA_WRAP |
TRUE |
TRUE |
True는 키를 사용하여 다른 키를 래핑할 수 있음을 나타냅니다. 일반적으로 개인 키의 경우 FALSE로 설정됩니다. | |
CKA_UNWRAP |
TRUE |
TRUE |
True는 키를 사용하여 다른 키를 언래핑(가져오기)할 수 있음을 나타냅니다. | |
CKA_SIGN |
TRUE |
TRUE |
True는 키를 사용하여 메시지 다이제스트에 서명할 수 있음을 나타냅니다. 일반적으로 아카이브 완료된 개인 키와 공개 키의 경우 FALSE로 설정됩니다. | |
CKA_VERIFY |
TRUE |
TRUE |
True는 키를 사용하여 서명을 확인할 수 있음을 나타냅니다. 일반적으로 개인 키의 경우 FALSE로 설정됩니다. | |
CKA_PRIVATE |
TRUE |
TRUE |
TRUE |
True는 사용자가 인증될 때까지 사용자가 키에 액세스할 수 없음을 나타냅니다. 이해를 돕기 위해 설명하자면 사용자는 인증될 때까지 CloudHSM의 키에 액세스할 수 없습니다. 이 속성이 FALSE로 설정되는 경우에도 마찬가지입니다. |
참고
PKCS #11 라이브러리의 속성에 대한 광범위한 지원을 받을 수 있습니다. 자세한 내용은 지원되는 PKCS #11 속성을 참조하십시오.
키에 대한 속성 설정
CloudHsmKeyAttributesMap은 Java MapCloudHsmKeyAttributesMap 함수에 대한 메서드는 Java Map 조작에 사용되는 메서드와 비슷합니다.
속성에 대한 사용자 지정 값을 설정하기 위해 다음 두 가지 옵션이 제공됩니다.
다음 표에 나열된 메서드 사용
이 문서 뒷부분에 설명된 빌더 패턴 사용
속성 맵 객체는 속성을 설정하기 위한 다음과 같은 메서드를 지원합니다:
| Operation | 반환 값 | CloudHSMKeyAttributesMap 메서드 |
|---|---|---|
| 기존 키에 대한 키 속성 값 가져오기 | 객체(값 포함) 또는 null |
get(keyAttribute) |
| 키 속성 하나의 값 채우기 | 키 속성과 연결된 이전 값 또는 키 속성에 대한 매핑이 없는 경우에는 null |
put(keyAttribute, 값) |
| 여러 키 속성에 대한 값 채우기 | N/A |
putAll(keyAttributesMap) |
| 속성 맵에서 키-값 페어 제거 |
키 속성과 연결된 이전 값 또는 키 속성에 대한 매핑이 없는 경우에는 null |
remove(keyAttribute) |
참고
명시적으로 지정하지 않은 속성은 지원되는 속성의 이전 표에 나열된 기본값으로 설정됩니다.
빌더 패턴 예시
개발자는 일반적으로 빌더 패턴을 통해 더 편리하게 클래스를 활용합니다. 예를 들면 다음과 같습니다.
import com.amazonaws.cloudhsm.CloudHsmKeyAttributes; import com.amazonaws.cloudhsm.CloudHsmKeyAttributesMap; import com.amazonaws.cloudhsm.CloudHsmKeyPairAttributesMap; CloudHsmKeyAttributesMap keyAttributesSessionDecryptionKey = new CloudHsmKeyAttributesMap.Builder() .put(CloudHsmKeyAttributes.CKA_LABEL, "ExtractableSessionKeyEncryptDecrypt") .put(CloudHsmKeyAttributes.CKA_WRAP, false) .put(CloudHsmKeyAttributes.CKA_UNWRAP, false) .put(CloudHsmKeyAttributes.CKA_SIGN, false) .put(CloudHsmKeyAttributes.CKA_VERIFY, false) .build(); CloudHsmKeyAttributesMap keyAttributesTokenWrappingKey = new CloudHsmKeyAttributesMap.Builder() .put(CloudHsmKeyAttributes.CKA_LABEL, "TokenWrappingKey") .put(CloudHsmKeyAttributes.CKA_TOKEN, true) .put(CloudHsmKeyAttributes.CKA_ENCRYPT, false) .put(CloudHsmKeyAttributes.CKA_DECRYPT, false) .put(CloudHsmKeyAttributes.CKA_SIGN, false) .put(CloudHsmKeyAttributes.CKA_VERIFY, false) .build();
개발자는 사전 정의된 속성 집합을 키 템플릿에서 모범 사례를 적용하는 편리한 방법으로 활용할 수도 있습니다. 예를 들면 다음과 같습니다.
//best practice template for wrapping keys CloudHsmKeyAttributesMap commonKeyAttrs = new CloudHsmKeyAttributesMap.Builder() .put(CloudHsmKeyAttributes.CKA_EXTRACTABLE, false) .put(CloudHsmKeyAttributes.CKA_DECRYPT, false) .build(); // initialize a new instance of CloudHsmKeyAttributesMap by copying commonKeyAttrs // but with an appropriate label CloudHsmKeyAttributesMap firstKeyAttrs = new CloudHsmKeyAttributesMap(commonKeyAttrs); firstKeyAttrs.put(CloudHsmKeyAttributes.CKA_LABEL, "key label"); // alternatively, putAll() will overwrite existing values to enforce conformance CloudHsmKeyAttributesMap secondKeyAttrs = new CloudHsmKeyAttributesMap(); secondKeyAttrs.put(CloudHsmKeyAttributes.CKA_DECRYPT, true); secondKeyAttrs.put(CloudHsmKeyAttributes.CKA_ENCRYPT, true); secondKeyAttrs.put(CloudHsmKeyAttributes.CKA_LABEL, “safe wrapping key”); secondKeyAttrs.putAll(commonKeyAttrs); // will overwrite CKA_DECRYPT to be FALSE
키 페어에 대한 속성 설정
Java 클래스 CloudHsmKeyPairAttributesMap을 사용하여 키 페어에 대한 키 속성을 처리합니다. CloudHsmKeyPairAttributesMap은 두 개의 CloudHsmKeyAttributesMap 객체를 캡슐화합니다. 하나는 퍼블릭 키용이고 다른 하나는 개인 키용입니다.
퍼블릭 키와 개인 키에 대해 별도로 개별 속성을 설정하려면 키의 해당하는 CloudHsmKeyAttributes 맵 객체에 put() 메서드를 사용하면 됩니다. getPublic() 메서드를 사용하여 공개 키에 대한 속성 맵을 검색하고 getPrivate()을 사용하여 개인 키에 대한 속성 맵을 검색합니다. 키 페어 속성 맵에 putAll()을 인수로 사용하여 퍼블릭 및 개인 키 페어에 대한 여러 키 속성 값을 함께 채웁니다.
빌더 패턴 예시
개발자는 일반적으로 빌더 패턴을 통해 더 편리하게 키 속성을 설정합니다. 예:
import com.amazonaws.cloudhsm.CloudHsmKeyAttributes; import com.amazonaws.cloudhsm.CloudHsmKeyAttributesMap; import com.amazonaws.cloudhsm.CloudHsmKeyPairAttributesMap; //specify attributes up-front CloudHsmKeyAttributesMap keyAttributes = new CloudHsmKeyAttributesMap.Builder() .put(CloudHsmKeyAttributes.CKA_SIGN, false) .put(CloudHsmKeyAttributes.CKA_LABEL, "PublicCertSerial12345") .build(); CloudHsmKeyPairAttributesMap keyPairAttributes = new CloudHsmKeyPairAttributesMap.Builder() .withPublic(keyAttributes) .withPrivate( new CloudHsmKeyAttributesMap.Builder() //or specify them inline .put(CloudHsmKeyAttributes.CKA_LABEL, "PrivateCertSerial12345") .put (CloudHSMKeyAttributes.CKA_WRAP, FALSE) .build() ) .build();
모두 통합
키 작업을 사용하여 키 속성을 지정하려면 다음 단계를 수행합니다.
대칭 키의 경우
CloudHsmKeyAttributesMap을, 키 페어의 경우CloudHsmKeyPairAttributesMap을 인스턴스화합니다.필수 키 속성 및 값을 사용하여 1단계의 속성 객체를 정의합니다.
특정 키 유형에 해당하는
Cavium*ParameterSpec클래스를 인스턴스화하고 이 구성된 속성 객체를 생성자에게 전달합니다.이
Cavium*ParameterSpec객체를 해당하는 암호화 클래스 또는 메서드에 전달합니다.
참고로 다음 표에는 사용자 지정 키 속성을 지원하는 Cavium*ParameterSpec 클래스 및 메서드가 포함되어 있습니다.
| 키 유형 | 파라미터 사양 클래스 | 예제 생성자 |
|---|---|---|
| 기본 클래스 | CaviumKeyGenAlgorithmParameterSpec |
CaviumKeyGenAlgorithmParameterSpec(CloudHsmKeyAttributesMap
keyAttributesMap) |
| DES | CaviumDESKeyGenParameterSpec |
CaviumDESKeyGenParameterSpec(int keySize, byte[] iv, CloudHsmKeyAttributesMap
keyAttributesMap) |
| RSA | CaviumRSAKeyGenParameterSpec |
CaviumRSAKeyGenParameterSpec(int keysize, BigInteger publicExponent,
CloudHsmKeyPairAttributesMap keyPairAttributesMap) |
| Secret | CaviumGenericSecretKeyGenParameterSpec |
CaviumGenericSecretKeyGenParameterSpec(int size, CloudHsmKeyAttributesMap
keyAttributesMap) |
| AES | CaviumAESKeyGenParameterSpec |
CaviumAESKeyGenParameterSpec(int keySize, byte[] iv, CloudHsmKeyAttributesMap
keyAttributesMap) |
| EC | CaviumECGenParameterSpec |
CaviumECGenParameterSpec(String stdName, CloudHsmKeyPairAttributesMap
keyPairAttributesMap) |
샘플 코드: 키 생성 및 래핑
다음 간단한 코드 샘플은 키 생성과 키 래핑의 두 가지 작업 단계를 보여줍니다.
// Set up the desired key attributes KeyGenerator keyGen = KeyGenerator.getInstance("AES", "Cavium"); CaviumAESKeyGenParameterSpec keyAttributes = new CaviumAESKeyGenParameterSpec( 256, new CloudHsmKeyAttributesMap.Builder() .put(CloudHsmKeyAttributes.CKA_LABEL, "MyPersistentAESKey") .put(CloudHsmKeyAttributes.CKA_EXTRACTABLE, true) .put(CloudHsmKeyAttributes.CKA_TOKEN, true) .build() ); // Assume we already have a handle to the myWrappingKey // Assume we already have the wrappedBytes to unwrap // Unwrap a key using Custom Key Attributes CaviumUnwrapParameterSpec unwrapSpec = new CaviumUnwrapParameterSpec(myInitializationVector, keyAttributes); Cipher unwrapCipher = Cipher.getInstance("AESWrap", "Cavium"); unwrapCipher.init(Cipher.UNWRAP_MODE, myWrappingKey, unwrapSpec); Key unwrappedKey = unwrapCipher.unwrap(wrappedBytes, "AES", Cipher.SECRET_KEY);
