As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Mecanismos suportados para o Cliente SDK 3 para AWS CloudHSM o Cliente SDK 3
Este tópico fornece informações sobre os mecanismos suportados pelo JCE provedor com AWS CloudHSM o Cliente SDK 3. Para obter informações sobre as interfaces e classes de mecanismo da Java Cryptography Architecture (JCA) suportadas pelo AWS CloudHSM, consulte os tópicos a seguir.
Tópicos
Chaves compatíveis
A biblioteca AWS CloudHSM de software para Java permite que você gere os seguintes tipos de chaves.
-
AES— chaves de 128, 192 e 256 AES bits.
-
DESede— DES Chave 3 de 92 bits. Consulte a nota 1 abaixo para ver uma mudança futura.
-
ECCpares de chaves para NIST as curvas secp256r1 (P-256), secp384r1 (P-384) e secp256k1 (Blockchain).
-
RSA— RSA Chaves de 2048 bits a 4096 bits, em incrementos de 256 bits.
Além dos parâmetros padrão, oferecemos suporte aos seguintes parâmetros para cada chave gerada.
-
Label: Um rótulo de chave que você pode usar para procurar chaves.
-
isExtractable: indica se a chave pode ser exportada doHSM.
-
isPersistent: indica se a chave permanece no HSM quando a sessão atual termina.
nota
A versão 3.1 da biblioteca Java fornece a capacidade de especificar parâmetros em maior detalhes. Para obter mais informações, consulte Atributos Java compatíveis.
Criptografias compatíveis
A biblioteca AWS CloudHSM de software para Java suporta as seguintes combinações de algoritmo, modo e preenchimento.
| Algoritmo | Modo | Padding | Observações |
|---|---|---|---|
| AES | CBC |
|
Implementa |
| AES | ECB |
|
Implementa Cipher.ENCRYPT_MODE e Cipher.DECRYPT_MODE. Use a transformaçãoAES. |
| AES | CTR |
|
Implementa |
| AES | GCM | AES/GCM/NoPadding |
Implementa Ao executar AES a GCM criptografia, HSM ele ignora o vetor de inicialização (IV) na solicitação e usa um IV que ele gera. Quando a operação for concluída, você deverá chamar |
| AESWrap | ECB |
|
Implementa |
| DESede(TriploDES) | CBC |
|
Implementa As rotinas de geração de chaves aceitam um tamanho de 168 ou 192 bits. No entanto, internamente, todas as DESede chaves são de 192 bits. Consulte a nota 1 abaixo para ver uma mudança futura. |
| DESede(TriploDES) | ECB |
|
Implementa As rotinas de geração de chaves aceitam um tamanho de 168 ou 192 bits. No entanto, internamente, todas as DESede chaves são de 192 bits. Consulte a nota 1 abaixo para ver uma mudança futura. |
| RSA | ECB |
|
Implementa Consulte a nota 1 abaixo para ver uma mudança futura. |
| RSA | ECB |
|
Implementa
|
| RSAAESWrap | ECB | OAEPPADDING |
Implementa Cipher.WRAP_Mode e Cipher.UNWRAP_MODE. |
Resumos compatíveis
A biblioteca AWS CloudHSM de software para Java suporta os seguintes resumos de mensagens.
-
SHA-1 -
SHA-224 -
SHA-256 -
SHA-384 -
SHA-512
nota
Dados com menos de 16 KB de comprimento são criptografados noHSM, enquanto dados maiores são criptografados localmente no software.
Algoritmos compatíveis com código de autenticação de mensagens baseado em hash (HMAC)
A biblioteca AWS CloudHSM de software para Java suporta os seguintes HMAC algoritmos.
-
HmacSHA1 -
HmacSHA224 -
HmacSHA256 -
HmacSHA384 -
HmacSHA512
Mecanismos de assinatura/verificação compatíveis
A biblioteca AWS CloudHSM de software para Java suporta os seguintes tipos de assinatura e verificação.
RSATipos de assinatura
-
NONEwithRSA -
SHA1withRSA -
SHA224withRSA -
SHA256withRSA -
SHA384withRSA -
SHA512withRSA -
SHA1withRSA/PSS -
SHA224withRSA/PSS -
SHA256withRSA/PSS -
SHA384withRSA/PSS -
SHA512withRSA/PSS
ECDSATipos de assinatura
-
NONEwithECDSA -
SHA1withECDSA -
SHA224withECDSA -
SHA256withECDSA -
SHA384withECDSA -
SHA512withECDSA
Anotações do mecanismo
[1] De acordo com a NIST orientação, isso não é permitido para clusters no FIPS modo após 2023. Para clusters no FIPS modo não-, ainda é permitido após 2023. Para mais detalhes, consulte FIPS140 Conformidade: depreciação do mecanismo de 2024.
