지원되는 키 지원되는 암호 지원되는 다이제스트 지원되는 해시 기반 메시지 인증 코드(HMAC) 알고리즘 지원되는 서명/확인 메커니즘 메커니즘 주석

AWS CloudHSM 클라이언트 SDK 3용 클라이언트 SDK 3에 지원되는 메커니즘

이 주제에서는 AWS CloudHSM 클라이언트 SDK 3를 사용하는 JCE 공급자에 지원되는 메커니즘에 대한 정보를 제공합니다. AWS CloudHSM에서 지원되는 JCA(Java Cryptography Architecture) 인터페이스 및 엔진 클래스에 대한 자세한 내용은 다음 주제를 참조하세요.

주제

지원되는 키
지원되는 암호
지원되는 다이제스트
지원되는 해시 기반 메시지 인증 코드(HMAC) 알고리즘
지원되는 서명/확인 메커니즘
메커니즘 주석

지원되는 키

Java용 AWS CloudHSM 소프트웨어 라이브러리로 다음 키 유형을 생성할 수 있습니다.

AES - 128비트, 192비트 및 256비트 AES 키입니다.
DeSede — 92비트 3DES 키. 예정된 변경 사항은 1 아래 참고를 참조하세요.
NIST 곡선 secp256r1(P-256), secp384r1(P-384) 및 secp256k1(블록체인)용 ECC 키 페어입니다.
RSA - 2048비트 ~ 4096비트의 RSA 키입니다(256비트씩 증분).

표준 파라미터 외에도 생성되는 각 키에 대해 다음의 파라미터도 지원됩니다.

Label: 키를 검색하는 데 사용할 수 있는 키 라벨.
isExtractable: HSM에서 키를 내보낼 수 있는지 여부를 나타냅니다.
isPersistent: 현재 세션이 종료될 때 키가 HSM에 남아 있는지 여부를 나타냅니다.

참고

Java 라이브러리 버전 3.1은 파라미터를 보다 자세히 지정할 수 있는 기능을 제공합니다. 자세한 내용은 지원되는 Java 속성을 참조하세요.

지원되는 암호

Java용 AWS CloudHSM 소프트웨어 라이브러리는 다음과 같은 알고리즘, 모드 및 패딩 조합을 지원합니다.

알고리즘	Mode	패딩	참고
AES	CBC	`AES/CBC/NoPadding` `AES/CBC/PKCS5Padding`	`Cipher.ENCRYPT_MODE`와 `Cipher.DECRYPT_MODE`를 구현합니다.
AES	ECB	`AES/ECB/NoPadding` `AES/ECB/PKCS5Padding`	`Cipher.ENCRYPT_MODE`와 `Cipher.DECRYPT_MODE`를 구현합니다. 변환 AES를 사용합니다.
AES	CTR	`AES/CTR/NoPadding`	`Cipher.ENCRYPT_MODE`와 `Cipher.DECRYPT_MODE`를 구현합니다.
AES	GCM	`AES/GCM/NoPadding`	`Cipher.ENCRYPT_MODE`와 `Cipher.DECRYPT_MODE` 및 `Cipher.WRAP_MODE`와 `Cipher.UNWRAP_MODE`를 구현합니다. AES-GCM 암호화를 수행할 때 HSM은 요청에서 초기화 벡터(IV)를 무시하고 HSM이 생성하는 IV를 사용합니다. 작업이 완료되면 `Cipher.getIV()`를 호출하여 IV를 가져와야 합니다.
AESWrap	ECB	`AESWrap/ECB/ZeroPadding` `AESWrap/ECB/NoPadding` `AESWrap/ECB/PKCS5Padding`	`Cipher.WRAP_MODE`와 `Cipher.UNWRAP_MODE`를 구현합니다. 변환 AES를 사용합니다.
DESede (Triple DES)	CBC	`DESede/CBC/NoPadding` `DESede/CBC/PKCS5Padding`	`Cipher.ENCRYPT_MODE`와 `Cipher.DECRYPT_MODE`를 구현합니다. 키 생성 루틴은 168비트 또는 192비트의 크기를 허용합니다. 하지만 내부적으로 모든 DESede 키는 192비트입니다. 예정된 변경 사항은 1 아래 참고를 참조하세요.
DESede (Triple DES)	ECB	`DESede/ECB/NoPadding` `DESede/ECB/PKCS5Padding`	`Cipher.ENCRYPT_MODE`와 `Cipher.DECRYPT_MODE`를 구현합니다. 키 생성 루틴은 168비트 또는 192비트의 크기를 허용합니다. 하지만 내부적으로 모든 DESede 키는 192비트입니다. 예정된 변경 사항은 1 아래 참고를 참조하세요.
RSA	ECB	`RSA/ECB/NoPadding` `RSA/ECB/PKCS1Padding`	`Cipher.ENCRYPT_MODE`와 `Cipher.DECRYPT_MODE`를 구현합니다. 예정된 변경 사항은 1 아래 참고를 참조하세요.
RSA	ECB	`RSA/ECB/OAEPPadding` `RSA/ECB/OAEPWithSHA-1ANDMGF1Padding` `RSA/ECB/OAEPWithSHA-224ANDMGF1Padding` `RSA/ECB/OAEPWithSHA-256ANDMGF1Padding` `RSA/ECB/OAEPWithSHA-384ANDMGF1Padding` `RSA/ECB/OAEPWithSHA-512ANDMGF1Padding`	`Cipher.ENCRYPT_MODE`, `Cipher.DECRYPT_MODE`, `Cipher.WRAP_MODE`, `Cipher.UNWRAP_MODE`를 구현합니다. `OAEPPadding`은 `SHA-1` 패딩 유형을 포함하는 `OAEP`입니다.
RSAAESWrap	ECB	`OAEPPADDING`	`Cipher.WRAP_Mode`와 `Cipher.UNWRAP_MODE`를 구현합니다.

지원되는 다이제스트

Java용 AWS CloudHSM 소프트웨어 라이브러리는 다음과 같은 메시지 다이제스트를 지원합니다.

SHA-1
SHA-224
SHA-256
SHA-384
SHA-512

참고

크기가 16KB 미만인 데이터는 HSM에서 해싱되고, 더 큰 데이터는 소프트웨어에서 로컬로 해싱됩니다.

지원되는 해시 기반 메시지 인증 코드(HMAC) 알고리즘

Java용 AWS CloudHSM 소프트웨어 라이브러리는 다음과 같은 HMAC 알고리즘을 지원합니다.

HmacSHA1
HmacSHA224
HmacSHA256
HmacSHA384
HmacSHA512

지원되는 서명/확인 메커니즘

Java용 AWS CloudHSM 소프트웨어 라이브러리는 다음과 같은 유형의 서명 및 확인을 지원합니다.

RSA 서명 유형

NONEwithRSA
SHA1withRSA
SHA224withRSA
SHA256withRSA
SHA384withRSA
SHA512withRSA
SHA1withRSA/PSS
SHA224withRSA/PSS
SHA256withRSA/PSS
SHA384withRSA/PSS
SHA512withRSA/PSS

ECDSA 서명 유형

NONEwithECDSA
SHA1withECDSA
SHA224withECDSA
SHA256withECDSA
SHA384withECDSA
SHA512withECDSA

메커니즘 주석

[1] NIST 지침에 따라 2023년 이후 FIPS 모드의 클러스터에는 허용되지 않습니다. 비 FIPS 모드의 클러스터의 경우 2023년 이후에도 허용됩니다. 세부 정보는 FIPS 140 규정 준수: 2024 메커니즘 지원 중단를 참조하세요.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

키 관리 기본 사항

키 속성