AWS CloudHSM 클라이언트 SDK 5에 지원되는 Java 키 속성
이 주제에서는 AWS CloudHSM 클라이언트 SDK 5에 지원되는 Java 키 속성에 대한 정보를 제공합니다. 이 항목에서는 JCE 공급자가 독점 확장을 사용하여 주요 속성을 설정하는 방법에 대해 설명합니다. 이 확장을 사용하여 다음 작업 중에 지원되는 키 속성 및 해당 값을 설정할 수 있습니다:
키 생성
키 가져오기
키 속성 사용 방법에 대한 예는 클라이언트 SDK 5용 Java의 AWS CloudHSM 소프트웨어 라이브러리 코드 샘플을 참조하십시오.
속성 이해
키 속성을 사용하여 퍼블릭 키, 개인 키 또는 보안 키를 포함하여 키 객체에 허용되는 작업을 지정합니다. 키 객체 생성 작업 중에 키 속성과 값을 정의합니다.
Java Cryptography Extension(JCE)은 키 속성에 대한 값을 설정하는 방법을 지정하지 않으므로 대부분의 작업이 기본적으로 허용되었습니다. 이와 반대로 PKCS# 11 표준은 더 제한적인 기본값을 가진 포괄적인 속성 집합을 정의합니다. JCE provider 3.1부터는 AWS CloudHSM이 일반적으로 사용되는 속성에 대해 보다 제한적인 값을 설정할 수 있는 독점 확장 기능을 제공합니다.
지원되는 속성
다음 표에 나열된 속성에 대한 값을 설정할 수 있습니다. 제한적으로 만들려는 속성의 값만 설정하는 것이 좋습니다. 값을 지정하지 않으면 AWS CloudHSM은 아래 표에 지정된 기본값을 사용합니다. 기본값 열의 빈 셀은 속성에 할당된 특정 기본값이 없음을 나타냅니다.
속성 | 기본 값 | 참고 | ||
---|---|---|---|---|
대칭 키 | 키 페어의 공개 키 | 키 페어의 개인 키 | ||
DECRYPT |
TRUE |
TRUE |
True는 키를 사용하여 버퍼의 암호를 해독할 수 있음을 나타냅니다. 일반적으로 WRAP가 true로 설정된 키에 대해 이를 FALSE로 설정합니다. | |
DERIVE |
키를 사용하여 다른 키를 파생할 수 있습니다. | |||
ENCRYPT |
TRUE |
TRUE |
True는 키를 사용하여 버퍼를 암호화할 수 있음을 나타냅니다. | |
EXTRACTABLE |
TRUE |
TRUE |
True는 이 키를 HSM에서 내보낼 수 있음을 나타냅니다. | |
ID |
|
|
키를 식별하는 데 사용되는 사용자 정의 값입니다. | |
KEY_TYPE |
키 유형(AES, DESede, 일반 암호, EC 또는 RSA)을 식별하는 데 사용됩니다. | |||
LABEL |
HSM의 키를 편리하게 식별할 수 있는 사용자 정의 문자열입니다. 모범 사례를 따르려면 나중에 쉽게 찾을 수 있도록 각 키에 고유한 레이블을 사용하십시오. | |||
LOCAL |
HSM에서 생성한 키를 나타냅니다. | |||
OBJECT_CLASS |
키(SecretKey, PublicKey 또는 PrivateKey)의 객체 클래스를 식별하는 데 사용됩니다. | |||
PRIVATE |
TRUE |
TRUE |
TRUE |
True는 사용자가 인증될 때까지 사용자가 키에 액세스할 수 없음을 나타냅니다. 명확성을 위해 사용자는 이 속성이 FALSE로 설정되어 있더라도 인증될 때까지 AWS CloudHSM 키에 액세스할 수 없습니다. |
SIGN |
TRUE |
TRUE |
True는 키를 사용하여 메시지 다이제스트에 서명할 수 있음을 나타냅니다. 일반적으로 아카이브 완료된 개인 키와 공개 키의 경우 FALSE로 설정됩니다. | |
SIZE |
키 크기를 정의하는 속성입니다. 지원되는 키 크기에 대한 자세한 내용은 Client SDK 5 지원 메커니즘을 참조하십시오. | |||
TOKEN |
FALSE |
FALSE |
FALSE |
클러스터의 모든 HSM에 복제되고 백업에 포함된 영구 키입니다. TOKEN = FALSE는 HSM에 대한 연결이 끊어지거나 로그아웃될 때 자동으로 지워지는 임시 키를 의미합니다. |
UNWRAP |
TRUE |
TRUE |
True는 키를 사용하여 다른 키를 언래핑(가져오기)할 수 있음을 나타냅니다. | |
VERIFY |
TRUE |
TRUE |
True는 키를 사용하여 서명을 확인할 수 있음을 나타냅니다. 일반적으로 개인 키의 경우 FALSE로 설정됩니다. | |
WRAP |
TRUE |
TRUE |
True는 키를 사용하여 다른 키를 래핑할 수 있음을 나타냅니다. 일반적으로 개인 키의 경우 FALSE로 설정됩니다. | |
WRAP_WITH_TRUSTED |
FALSE |
FALSE |
True는 TRUSTED 속성이 true로 설정된 키로만 키를 래핑하고 래핑을 해제할 수 있음을 나타냅니다. 키가 true로 WRAP_WITH_TRUSTED 설정되면 해당 속성은 읽기 전용이며 false로 설정할 수 없습니다. 신뢰 래핑에 대해 알아보려면 신뢰할 수 있는 키를 사용하여 키 래핑 해제 제어를 참조하세요. |
참고
PKCS #11 라이브러리의 속성에 대한 광범위한 지원을 받을 수 있습니다. 자세한 내용은 지원되는 PKCS #11 속성을 참조하십시오.
키에 대한 속성 설정
KeyAttributesMap
은 Java Map과 유사한 객체로, 키 객체에 대한 속성 값을 설정하는 데 사용할 수 있습니다. KeyAttributesMap
함수에 대한 메서드는 Java Map 조작에 사용되는 메서드와 비슷합니다.
속성에 대한 사용자 지정 값을 설정하기 위해 다음 두 가지 옵션이 제공됩니다.
다음 표에 나열된 메서드 사용
이 문서 뒷부분에 설명된 빌더 패턴 사용
속성 맵 객체는 속성을 설정하기 위한 다음과 같은 메서드를 지원합니다:
Operation | 반환 값 | KeyAttributesMap 메서드 |
---|---|---|
기존 키에 대한 키 속성 값 가져오기 | 객체(값 포함) 또는 null |
get(keyAttribute) |
키 속성 하나의 값 채우기 | 키 속성과 연결된 이전 값 또는 키 속성에 대한 매핑이 없는 경우에는 null |
put(keyAttribute, 값) |
여러 키 속성에 대한 값 채우기 | N/A |
putAll(keyAttributesMap) |
속성 맵에서 키-값 페어 제거 |
키 속성과 연결된 이전 값 또는 키 속성에 대한 매핑이 없는 경우에는 null |
remove(keyAttribute) |
참고
명시적으로 지정하지 않은 속성은 지원되는 속성의 이전 표에 나열된 기본값으로 설정됩니다.
키 페어에 대한 속성 설정
Java 클래스 KeyPairAttributesMap
을 사용하여 키 페어에 대한 키 속성을 처리합니다. KeyPairAttributesMap
은 두 개의 KeyAttributesMap
객체를 캡슐화합니다. 하나는 퍼블릭 키용이고 다른 하나는 개인 키용입니다.
퍼블릭 키와 개인 키에 대해 별도로 개별 속성을 설정하려면 키의 해당하는 KeyAttributes
맵 객체에 put()
메서드를 사용하면 됩니다. getPublic()
메서드를 사용하여 공개 키에 대한 속성 맵을 검색하고 getPrivate()
을 사용하여 개인 키에 대한 속성 맵을 검색합니다. 키 페어 속성 맵에 putAll()
을 인수로 사용하여 퍼블릭 및 개인 키 페어에 대한 여러 키 속성 값을 함께 채웁니다.