기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
이 주제에서는 AWS CloudHSM 클라이언트 SDK 5를 사용하는 JCE 공급자에 대해 지원되는 메커니즘에 대한 정보를 제공합니다. 에서 지원하는 Java 암호화 아키텍처(JCA) 인터페이스 및 엔진 클래스에 대한 자세한 내용은 다음 주제를 AWS CloudHSM참조하세요.
주제
키 및 키 페어 함수 생성
Java용 AWS CloudHSM 소프트웨어 라이브러리를 사용하면 다음 작업을 사용하여 키 및 키 페어 함수를 생성할 수 있습니다.
-
RSA -
EC -
AES -
DESede (Triple DES)1 참고 참조 -
GenericSecret
암호 함수
Java용 AWS CloudHSM 소프트웨어 라이브러리는 다음 알고리즘, 모드 및 패딩 조합을 지원합니다.
| 알고리즘 | Mode | 패딩 | Notes |
|---|---|---|---|
| AES | CBC |
|
|
| AES | ECB |
|
|
| AES | CTR |
|
|
| AES | GCM |
|
AES-GCM 암호화를 수행할 때 HSM은 요청에서 초기화 벡터(IV)를 무시하고 HSM이 생성하는 IV를 사용합니다. 작업이 완료되면 |
| AESWrap | ECB |
|
|
| DESede (Triple DES) | CBC |
|
|
| DESede (Triple DES) | ECB |
|
|
| RSA | ECB |
|
|
| RSA | ECB |
|
|
| RSAAESWrap | ECB |
|
|
서명 및 인증 기능
Java용 AWS CloudHSM 소프트웨어 라이브러리는 다음과 같은 유형의 서명 및 확인을 지원합니다. 클라이언트 SDK 5와 해싱 기능이 있는 서명 알고리즘을 사용하면 데이터가 서명/검증을 위해 HSM으로 전송되기 전에 소프트웨어에서 로컬로 해시됩니다. 즉, SDK로 해시할 수 있는 데이터 크기에는 제한이 없습니다.
RSA 서명 유형
-
NONEwithRSA -
RSASSA-PSS -
SHA1withRSA -
SHA1withRSA/PSS -
SHA1withRSAandMGF1 -
SHA224withRSA -
SHA224withRSAandMGF1 -
SHA224withRSA/PSS -
SHA256withRSA -
SHA256withRSAandMGF1 -
SHA256withRSA/PSS -
SHA384withRSA -
SHA384withRSAandMGF1 -
SHA384withRSA/PSS -
SHA512withRSA -
SHA512withRSAandMGF1 -
SHA512withRSA/PSS
ECDSA 서명 유형
-
NONEwithECDSA -
SHA1withECDSA -
SHA224withECDSA -
SHA256withECDSA -
SHA384withECDSA -
SHA512withECDSA
다이제스트 기능
Java용 AWS CloudHSM 소프트웨어 라이브러리는 다음 메시지 다이제스트를 지원합니다. Client SDK 5를 사용하면 데이터가 소프트웨어에서 로컬로 해시됩니다. 즉, SDK로 해시할 수 있는 데이터 크기에는 제한이 없습니다.
-
SHA-1 -
SHA-224 -
SHA-256 -
SHA-384 -
SHA-512
해시 기반 메시지 인증 코드(HMAC) 함수
Java용 AWS CloudHSM 소프트웨어 라이브러리는 다음 HMAC 알고리즘을 지원합니다.
-
HmacSHA1(최대 데이터 크기(바이트): 16288) -
HmacSHA224(최대 데이터 크기(바이트): 16256) -
HmacSHA256(최대 데이터 크기(바이트): 16288) -
HmacSHA384(최대 데이터 크기(바이트): 16224) -
HmacSHA512(최대 데이터 크기(바이트): 16224)
암호 기반 메시지 인증 코드(CMAC) 함수
CMAC(암호 기반 메시지 인증 코드) 는 블록 암호와 비밀 키를 사용하여 메시지 인증 코드(MAC) 를 생성합니다. MAC에서는 해싱 방법이 아닌 블록 대칭 키 방법을 사용한다는 점에서 HMAC과 다릅니다.
Java용 AWS CloudHSM 소프트웨어 라이브러리는 다음 CMAC 알고리즘을 지원합니다.
-
AESCMAC
키 팩토리를 사용하여 키를 키 사양으로 변환합니다.
키 팩토리를 사용하여 키를 키 사양으로 변환할 수 있습니다. AWS CloudHSM 에는 JCE용 두 가지 유형의 키 팩토리가 있습니다.
SecretKeyFactory: 대칭 키를 가져오거나 파생시키는 데 사용됩니다. SecretKeyFactory를 사용하면 지원되는 키 또는 지원되는 KeySpec을 전달하여 대칭 키를 가져오거나 파생시킬 수 있습니다. AWS CloudHSM KeyFactory에서 지원되는 사양은 다음과 같습니다.
-
SecretKeyFactory의
generateSecret메서드에서는 다음과 같은 KeySpec클래스가 지원됩니다. KeyAttributesMap을 사용하여 추가 속성이 있는 키 바이트를 CloudHSM 키로 가져올 수 있습니다. 예제는 여기
에서 확인할 수 있습니다. SecretKeySpec
을 사용하여 대칭 키 사양을 CloudHSM 키로 가져올 수 있습니다. AesCmacKdfParameterSpec을 사용하면 다른 CloudHSM AES 키를 사용하여 대칭 키를 도출할 수 있습니다.
참고
SecretKeyFactory의 translateKey 메서드는 키
KeyFactory: 비대칭 키를 가져오는 데 사용됩니다. KeyFactory를 사용하면 지원되는 키 또는 지원되는 KeySpec을 전달하여 AWS CloudHSM에 비대칭 키를 가져올 수 있습니다. 자세한 정보는 다음 리소스를 참조하세요.
KeyFactory의
generatePublic메서드에는 다음과 같은 KeySpec클래스가 지원됩니다. 다음을 포함하여 RSA 및 EC KeyType 모두에 대한 CloudHSM KeyAttributesMap입니다.
RSA 및 EC 퍼블릭 KeyType 모두에 대한 CloudHSM KeyAttributesMap입니다. 예제는 여기
에서 확인할 수 있습니다. RSA 및 EC 퍼블릭 키 모두에 대한 X509EncodedKeySpec
RSA 퍼블릭 키용 RSAPublicKeySpec
EC 퍼블릭 키용 ECPublicKeySpec
KeyFactory의
generatePrivate메서드에는 다음과 같은 KeySpec클래스가 지원됩니다. 다음을 포함하여 RSA 및 EC KeyType 모두에 대한 CloudHSM KeyAttributesMap입니다.
RSA 및 EC 퍼블릭 KeyType 모두에 대한 CloudHSM KeyAttributesMap입니다. 예제는 여기
에서 확인할 수 있습니다. EC 및 RSA 프라이빗 키 모두에 대한 PKCS8로 인코딩된 키 사양
RSA 프라이빗 키용 RSAPrivateCrtKeySpec
EC 프라이빗 키용 ECPrivateKeySpec
KeyFactory의 translateKey 메서드에서는 키 인터페이스
메커니즘 주석
[1] NIST 지침에 따라 2023년 이후 FIPS 모드의 클러스터에는 허용되지 않습니다. 비FIPS 모드의 클러스터의 경우 2023년 이후에도 허용됩니다. 세부 정보는 FIPS 140 규정 준수: 2024 메커니즘 지원 중단 섹션을 참조하세요.
