本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
云的关键属性 HSM CLI
本主题介绍如何使用 Cloud HSM CLI 设置关键属性。Cloud 中的密钥属性HSMCLI可以定义密钥的类型、按键的功能或密钥的标签方式。有些属性定义了独特的特征(例如密钥的类型)。其他属性可以设置为 true 或 false,更改它们会激活或停用密钥的部分功能。
有关如何使用密钥属性的示例,请参阅父命令 key 下面列出的命令。
支持的属性
作为最佳实践,仅为应受限的属性设置值。如果您未指定值,Cloud 将HSMCLI使用下表中指定的默认值。
下表列出了密钥属性、可能的值、默认值和相关注释。值列中的空单元格表示没有给该属性分配特定的默认值。
云HSMCLI属性 | 值 | 可使用 key set-attribute 进行修改 | 可在创建密钥时进行设置 |
---|---|---|---|
always-sensitive |
如果 |
否 | 否 |
check-value |
密钥的检查值。有关更多信息,请参阅其他详细信息。 | 否 | 否 |
class |
可能的值: |
否 | 是 |
curve |
用于生成 EC 密钥对的椭圆曲线。 有效值: |
否 | 可使用 EC 进行设置,不可使用进行设置 RSA |
decrypt |
默认: |
是 | 是 |
derive |
默认: |
是 | 是 |
destroyable |
默认: |
是 | 是 |
ec-point |
对于 EC 密钥,使用十六进制DER格式的 ANSI X9.62 ECPoint 值 “Q” 进行编码。 对于其他密钥类型,此属性不存在。 |
否 | 否 |
encrypt |
默认: |
是 | 是 |
extractable |
默认: |
否 | 是 |
id |
默认值:空 | 否 | 是 |
key-length-bytes |
生成AES密钥所必需的。 有效值: |
否 | 否 |
key-type |
可能的值: |
否 | 是 |
label |
默认值:空 | 是 | 是 |
local |
默认: |
否 | 否 |
modifiable |
默认: |
否 | 否 |
modulus |
用于生成 ke RSA y pair 的模数。对于其他密钥类型,此属性不存在。 | 否 | 否 |
modulus-size-bits |
生成 ke RSA y pair 所必需的。 最小值为 |
否 | 可使用 EC 进行设置RSA,不能使用 EC 进行设置 |
never-extractable |
如果从未将“可提取”设置为 如果曾将“可提取”设置为 |
否 | 否 |
private |
默认: |
否 | 是 |
public-exponent |
生成 ke RSA y pair 所必需的。 有效值:此值必须为大于或等于 |
否 | 可使用 EC 进行设置RSA,不能使用 EC 进行设置 |
sensitive |
默认值:
|
否 | 可以用私钥设置,不能用公有密钥设置。 |
sign |
默认值:
|
是 | 是 |
token |
默认: |
否 | 是 |
trusted |
默认: |
是 | 不支持 |
unwrap |
默认:False |
是 | 是 |
unwrap-template |
值应使用应用于使用此包装密钥解开包装的任何密钥的属性模板。 | 是 | 不支持 |
verify |
默认值:
|
是 | 是 |
wrap |
默认:False |
是 | 是 |
wrap-template |
值应使用属性模板来匹配使用此包装密钥包装的密钥。 | 是 | 不支持 |
wrap-with-trusted |
默认: |
是 | 是 |
其他详细信息
- 校验值
-
校验值是HSM导入或生成密钥时生成的密钥的 3 字节哈希值或校验和。您还可以在之外计算支票值HSM,例如在导出密钥之后。然后,您可对比检查值,以确认密钥的标识和完整性。要获取密钥的校验值,请使用带有 verbose 标记的key list。
AWS CloudHSM 使用以下标准方法生成校验值:
-
对称密钥:密钥加密零块结果的前 3 个字节。
-
非对称密钥对:公钥 SHA -1哈希值的前 3 个字节。
-
HMACke HMAC y KCV s:目前不支持 for keys。
-