Mecanismos compatíveis com o Client SDK 3 do AWS CloudHSM
Este tópico fornece informações sobre os mecanismos para provedor JCE compatíveis com o Client SDK 3 do AWS CloudHSM. Para obter informações sobre as interfaces e classes de mecanismos da Java Cryptography Architecture (JCA) compatíveis com o AWS CloudHSM, consulte os tópicos a seguir.
Tópicos
Chaves compatíveis
A biblioteca de software AWS CloudHSM para Java permite gerar os tipos de chave a seguir.
-
AES: chaves AES de 128, 192 e 256 bits.
-
DeSede: chave 3DES de 92 bits. Consulte a nota 1 abaixo para ver uma mudança futura.
-
Pares de chaves do ECC para curvas NIST secp256r1 (P-256), secp384r1 (P-384) e secp256k1 (Blockchain).
-
RSA: 2.048 bits para chaves RSA de 4.096 bits, em incrementos de 256 bits.
Além dos parâmetros padrão, oferecemos suporte aos seguintes parâmetros para cada chave gerada.
-
Label: Um rótulo de chave que você pode usar para procurar chaves.
-
isExtractable: Indica se a chave pode ser exportada do HSM.
-
isPersistent: Indica se a chave permanece no HSM ao término da sessão atual.
nota
A versão 3.1 da biblioteca Java fornece a capacidade de especificar parâmetros em maior detalhes. Para obter mais informações, consulte Atributos Java compatíveis.
Criptografias compatíveis
A biblioteca de software de AWS CloudHSM para Java suporta as seguintes combinações de algoritmo, modo e padding.
| Algoritmo | Modo | Padding | Observações |
|---|---|---|---|
| AES | CBC |
|
Implementa |
| AES | ECB |
|
Implementa Cipher.ENCRYPT_MODE e Cipher.DECRYPT_MODE. Use a transformação de AES. |
| AES | CTR |
|
Implementa |
| AES | GCM | AES/GCM/NoPadding |
Implementa Ao executar a criptografia AES-GCM, o HSM ignora o vetor de inicialização (IV) na solicitação e usa um IV que ele mesmo gera. Quando a operação for concluída, você deverá chamar |
| AESWrap | ECB |
|
Implementa |
| DESede (Triple DES) | CBC |
|
Implementa As rotinas de geração de chaves aceitam um tamanho de 168 ou 192 bits. No entanto, internamente, todas as chaves DESede são de 192 bits. Consulte a nota 1 abaixo para ver uma mudança futura. |
| DESede (Triple DES) | ECB |
|
Implementa As rotinas de geração de chaves aceitam um tamanho de 168 ou 192 bits. No entanto, internamente, todas as chaves DESede são de 192 bits. Consulte a nota 1 abaixo para ver uma mudança futura. |
| RSA | ECB |
|
Implementa Consulte a nota 1 abaixo para ver uma mudança futura. |
| RSA | ECB |
|
Implementa
|
| RSAAESWrap | ECB | OAEPPADDING |
Implementa Cipher.WRAP_Mode e Cipher.UNWRAP_MODE. |
Resumos compatíveis
A biblioteca de software de AWS CloudHSM para Java suporta os arquivos de resumo de mensagens a seguir.
-
SHA-1 -
SHA-224 -
SHA-256 -
SHA-384 -
SHA-512
nota
Os dados com extensão inferior a 16 KB são criptografadas no HSM, enquanto nos dados maiores se usa hash localmente no software.
Algoritmos de código de autenticação de mensagens por hash (HMAC) compatíveis
A biblioteca de software de AWS CloudHSM para Java suporta os algoritmos HMAC a seguir.
-
HmacSHA1 -
HmacSHA224 -
HmacSHA256 -
HmacSHA384 -
HmacSHA512
Mecanismos de assinatura/verificação compatíveis
A biblioteca de software de AWS CloudHSM para Java suporta os tipos de assinatura e verificação de a seguir.
Tipos de assinatura RSA
-
NONEwithRSA -
SHA1withRSA -
SHA224withRSA -
SHA256withRSA -
SHA384withRSA -
SHA512withRSA -
SHA1withRSA/PSS -
SHA224withRSA/PSS -
SHA256withRSA/PSS -
SHA384withRSA/PSS -
SHA512withRSA/PSS
Tipos de assinatura ECDSA
-
NONEwithECDSA -
SHA1withECDSA -
SHA224withECDSA -
SHA256withECDSA -
SHA384withECDSA -
SHA512withECDSA
Anotações do mecanismo
[1] De acordo com a orientação do NIST, isso não é permitido em clusters no modo FIPS após 2023. Para clusters no modo não FIPS, isso ainda é permitido após 2023. Para mais detalhes, consulte Conformidade com o FIPS 140: suspensão do mecanismo de 2024.
