Mecanismos suportados pelo JCE provedor para AWS CloudHSM o Cliente SDK 3 - AWS CloudHSM
Gere funções de chave e par de chavesFunções de cifraFunções de assinatura e verificaçãoFunções de resumoFunções de código de autenticação de mensagens baseado em hash (HMAC)Funções de código de autenticação de mensagens baseado em cifras () CMACConverta chaves em especificações de chave usando fábricas de chavesAnotações do mecanismo

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Mecanismos suportados pelo JCE provedor para AWS CloudHSM o Cliente SDK 3

Este tópico fornece informações sobre os mecanismos suportados pelo JCE provedor com AWS CloudHSM o Cliente SDK 5. Para obter informações sobre as interfaces e classes de mecanismo da Java Cryptography Architecture (JCA) suportadas pelo AWS CloudHSM, consulte os tópicos a seguir.

Gere funções de chave e par de chaves

A biblioteca AWS CloudHSM de software para Java permite que você use as seguintes operações para gerar funções de chave e par de chaves.

  • RSA

  • EC

  • AES

  • DESede (Triple DES)consulte a observação 1

  • GenericSecret

Funções de cifra

A biblioteca AWS CloudHSM de software para Java suporta as seguintes combinações de algoritmo, modo e preenchimento.

Algoritmo Modo Padding Observações
AES CBC

AES/CBC/NoPadding

AES/CBC/PKCS5Padding

Implementa Cipher.ENCRYPT_MODE e Cipher.DECRYPT_MODE.

Implementa Cipher.UNWRAP_MODE for AES/CBC NoPadding
AES ECB

AES/ECB/PKCS5Padding

AES/ECB/NoPadding

Implementa Cipher.ENCRYPT_MODE e Cipher.DECRYPT_MODE.
AES CTR

AES/CTR/NoPadding

Implementa Cipher.ENCRYPT_MODE e Cipher.DECRYPT_MODE.
AES GCM

AES/GCM/NoPadding

Implementa Cipher.WRAP_MODE, Cipher.UNWRAP_MODE, Cipher.ENCRYPT_MODE e Cipher.DECRYPT_MODE.

Ao executar AES a GCM criptografia, HSM ele ignora o vetor de inicialização (IV) na solicitação e usa um IV que ele gera. Quando a operação for concluída, você deverá chamar Cipher.getIV() para obter o IV.
AESWrap ECB

AESWrap/ECB/NoPadding

AESWrap/ECB/PKCS5Padding

AESWrap/ECB/ZeroPadding

Implementa Cipher.WRAP_MODE e Cipher.UNWRAP_MODE.
DESede(TriploDES) CBC

DESede/CBC/PKCS5Padding

DESede/CBC/NoPadding

Implementa Cipher.ENCRYPT_MODE e Cipher.DECRYPT_MODE. Consulte a nota 1 abaixo para ver uma mudança futura.
DESede(TriploDES) ECB

DESede/ECB/NoPadding

DESede/ECB/PKCS5Padding

Implementa Cipher.ENCRYPT_MODE e Cipher.DECRYPT_MODE. Consulte a nota 1 abaixo para ver uma mudança futura.
RSA ECB

RSA/ECB/PKCS1Padding consulte a observação 1

RSA/ECB/OAEPPadding

RSA/ECB/OAEPWithSHA-1ANDMGF1Padding

RSA/ECB/OAEPWithSHA-224ANDMGF1Padding

RSA/ECB/OAEPWithSHA-256ANDMGF1Padding

RSA/ECB/OAEPWithSHA-384ANDMGF1Padding

RSA/ECB/OAEPWithSHA-512ANDMGF1Padding

Implementa Cipher.WRAP_MODE, Cipher.UNWRAP_MODE, Cipher.ENCRYPT_MODE e Cipher.DECRYPT_MODE.
RSA ECB

RSA/ECB/NoPadding

Implementa Cipher.ENCRYPT_MODE e Cipher.DECRYPT_MODE.
RSAAESWrap ECB

RSAAESWrap/ECB/OAEPPadding

RSAAESWrap/ECB/OAEPWithSHA-1ANDMGF1Padding

RSAAESWrap/ECB/OAEPWithSHA-224ANDMGF1Padding

RSAAESWrap/ECB/OAEPWithSHA-256ANDMGF1Padding

RSAAESWrap/ECB/OAEPWithSHA-384ANDMGF1Padding

RSAAESWrap/ECB/OAEPWithSHA-512ANDMGF1Padding

Implementa Cipher.WRAP_MODE e Cipher.UNWRAP_MODE.

Funções de assinatura e verificação

A biblioteca AWS CloudHSM de software para Java suporta os seguintes tipos de assinatura e verificação. Com o Client SDK 5 e os algoritmos de assinatura com hashing, os dados são codificados localmente no software antes de serem enviados ao HSM para assinatura/verificação. Isso significa que não há limite no tamanho dos dados que podem ser criptografados peloSDK.

RSATipos de assinatura

  • NONEwithRSA

  • RSASSA-PSS

  • SHA1withRSA

  • SHA1withRSA/PSS

  • SHA1withRSAandMGF1

  • SHA224withRSA

  • SHA224withRSAandMGF1

  • SHA224withRSA/PSS

  • SHA256withRSA

  • SHA256withRSAandMGF1

  • SHA256withRSA/PSS

  • SHA384withRSA

  • SHA384withRSAandMGF1

  • SHA384withRSA/PSS

  • SHA512withRSA

  • SHA512withRSAandMGF1

  • SHA512withRSA/PSS

ECDSATipos de assinatura

  • NONEwithECDSA

  • SHA1withECDSA

  • SHA224withECDSA

  • SHA256withECDSA

  • SHA384withECDSA

  • SHA512withECDSA

Funções de resumo

A biblioteca AWS CloudHSM de software para Java suporta os seguintes resumos de mensagens. Com o Client SDK 5, os dados são codificados localmente no software. Isso significa que não há limite no tamanho dos dados que podem ser criptografados peloSDK.

  • SHA-1

  • SHA-224

  • SHA-256

  • SHA-384

  • SHA-512

Funções de código de autenticação de mensagens baseado em hash (HMAC)

A biblioteca AWS CloudHSM de software para Java suporta os seguintes HMAC algoritmos.

  • HmacSHA1 (Tamanho máximo de dados em bytes: 16288)

  • HmacSHA224 (Tamanho máximo de dados em bytes: 16256)

  • HmacSHA256 (Tamanho máximo de dados em bytes: 16288)

  • HmacSHA384 (Tamanho máximo de dados em bytes: 16224)

  • HmacSHA512 (Tamanho máximo de dados em bytes: 16224)

Funções de código de autenticação de mensagens baseado em cifras () CMAC

CMACs(códigos de autenticação de mensagens baseados em cifras) crie códigos de autenticação de mensagens (MACs) usando uma cifra de bloco e uma chave secreta. Eles diferem HMACs porque usam um método de chave simétrica de bloco para o, MACs em vez de um método de hash.

A biblioteca AWS CloudHSM de software para Java suporta os seguintes CMAC algoritmos.

  • AESCMAC

Converta chaves em especificações de chave usando fábricas de chaves

Você pode usar fábricas de chaves para converter chaves em especificações principais. AWS CloudHSM tem dois tipos de fábricas principais paraJCE:

SecretKeyFactory: usado para importar ou derivar chaves simétricas. Usando SecretKeyFactory, você pode passar uma chave compatível ou uma compatível KeySpec para importar ou derivar chaves simétricas. AWS CloudHSM A seguir estão as especificações suportadas para KeyFactory:

  • As seguintes KeySpecclasses SecretKeyFactory do generateSecret método For são suportadas:

    • KeyAttributesMappode ser usado para importar bytes de chave com atributos adicionais como uma HSM chave de nuvem. Um exemplo pode ser encontrado aqui

    • SecretKeySpecpode ser usado para importar uma especificação de chave simétrica como uma Cloud HSM Key.

    • AesCmacKdfParameterSpecpode ser usado para derivar chaves simétricas usando outra Cloud HSM AES Key.

nota

SecretKeyFactoryO translateKey método de usa qualquer chave que implemente a interface da chave.

KeyFactory: usado para importar chaves assimétricas. Usando KeyFactory, você pode passar uma chave compatível ou suportada KeySpec para importar uma chave assimétrica. AWS CloudHSM Para obter mais informações, consulte os seguintes recursos:

  • Para KeyFactory o generatePublic método de For, KeySpecas seguintes classes são suportadas:

  • Nuvem HSM KeyAttributesMap para ambos RSA e para a EC KeyTypes, incluindo:

  • Para KeyFactory o generatePrivate método de For, KeySpecas seguintes classes são suportadas:

  • Nuvem HSM KeyAttributesMap para ambos RSA e para a EC KeyTypes, incluindo:

KeyFactoryO translateKey método de For, ele usa qualquer chave que implemente a interface chave.

Anotações do mecanismo

[1] De acordo com a NIST orientação, isso não é permitido para clusters no FIPS modo após 2023. Para clusters no FIPS modo não-, ainda é permitido após 2023. Para mais detalhes, consulte FIPS140 Conformidade: depreciação do mecanismo de 2024.