As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Extração de chaves usando JCE para AWS CloudHSM
A Java Cryptography Extension (JCE) usa uma arquitetura que permite que diferentes implementações de criptografia sejam conectadas. O AWS CloudHSM envia um desses fornecedores de JCE que transfere operações criptográficas para o HSM. Para que a maioria dos outros provedores de JCE trabalhem com chaves armazenadas no AWS CloudHSM, eles devem extrair os bytes da chave dos seus HSMs em texto não criptografado na memória da sua máquina para uso. Normalmente, os HSMs só permitem que as chaves sejam extraídas como objetos agrupados, não como texto não criptografado. No entanto, para oferecer suporte a casos de uso de integração entre provedores, O AWS CloudHSM permite uma opção de configuração opcional para permitir a extração dos bytes da chave em branco.
Importante
A JCE descarrega as operações no AWS CloudHSM sempre que o provedor do AWS CloudHSM é especificado ou um objeto chave do AWS CloudHSM é usado. Você não precisa extrair as chaves de forma clara se você espera que sua operação ocorra dentro do HSM. A extração de chaves em texto não criptografado só é necessária quando seu aplicativo não pode usar mecanismos seguros, como empacotar e desempacotar uma chave devido a restrições de uma biblioteca terceirizada ou de um provedor de JCE.
O provedor AWS CloudHSM JCE permite a extração de chaves públicas para funcionar com provedores JCE externos por padrão. Os seguintes métodos são sempre permitidos:
| Classe | Método | Format (getEncoded) |
|---|---|---|
| EcPublicKey | getEncoded() | X.509 |
| getW() | N/D | |
| RSAPublicKey | getEncoded() | X.509 |
| getPublicExponent() | N/D | |
| CloudHsmRsaPrivateCrtKey | getPublicExponent() | N/D |
O provedor AWS CloudHSM JCE não permite a extração de bytes de chave em branco para as chaves privadas ou secretas por padrão. Se seu caso de uso exigir isso, você pode habilitar a extração de bytes de chave em branco para chaves privadas ou secretas nas seguintes condições:
O
EXTRACTABLEatributo para chaves privadas e secretas é definido como verdadeiro.Por padrão, o
EXTRACTABLEatributo para chaves privadas e secretas é definido como verdadeiro. ChavesEXTRACTABLEsão chaves que podem ser exportadas para fora do HSM. Para obter mais informações, consulte Atributos Java compatíveis para o Client SDK 5.
O
WRAP_WITH_TRUSTEDatributo para chaves privadas e secretas é definido como falso.getEncoded,getPrivateExponent, egetSnão podem ser usados com chaves privadas que não podem ser exportadas em branco.WRAP_WITH_TRUSTEDnão permite que suas chaves privadas sejam exportadas do HSM em branco. Para obter mais informações, consulte Usando chaves confiáveis para controlar o desencapsulamento de chaves.
