本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Client SDK 3 for AWS CloudHSM Client 3 SDK 支援的機制
本主題提供 AWS CloudHSM Client SDK 3 JCE提供者支援的機制的相關資訊。如需 支援的 Java 密碼編譯架構 (JCA) 介面和引擎類別的相關資訊 AWS CloudHSM,請參閱下列主題。
支援的金鑰
適用於 Java AWS CloudHSM 的軟體程式庫可讓您產生下列金鑰類型。
-
AES – 128、192 和 256 位元AES金鑰。
-
DESede – 92 位元 3DES 金鑰。請參閱下列備註 1 查看即將進行的變更。
-
ECC NIST曲線 secp256r1 (P-256)、secp384r1 (P-384) 和 secp256k1 (區塊鏈) 的金鑰對。
-
RSA – 2048 位元至 4096 位元RSA金鑰,增量為 256 位元。
除了標準參數,我們也支援產生的每個金鑰使用下列參數。
-
Label:金鑰標籤,您可以使用來搜尋金鑰。
-
isExtractable:指示 金鑰是否可以從 匯出HSM。
-
isPersistent:指出當目前的工作階段結束時,金鑰是否仍保留HSM在 上。
注意
Java 程式庫 3.1 版更詳細地提供指定參數的能力。如需詳細資訊,請參閱支援的 Java 屬性。
受支援的密碼
Java AWS CloudHSM 軟體程式庫支援下列演算法、模式和填充組合。
| 演算法 | Mode | 填補 | 備註 |
|---|---|---|---|
| AES | CBC |
|
實作 |
| AES | ECB |
|
實作 Cipher.ENCRYPT_MODE 和 Cipher.DECRYPT_MODE。使用轉換 AES。 |
| AES | CTR |
|
實作 |
| AES | GCM | AES/GCM/NoPadding |
實作 執行 AES- GCM加密時, 會HSM忽略請求中的初始化向量 (IV),並使用其產生的 IV。操作完成後,您必須呼叫 |
| AESWrap | ECB |
|
實作 |
| DESede (三個 DES) | CBC |
|
實作 金鑰產生常式接受 168 或 192 位元的大小。不過,在內部,所有DESede金鑰都是 192 位元。 請參閱下列備註 1 查看即將進行的變更。 |
| DESede (三個 DES) | ECB |
|
實作 金鑰產生常式接受 168 或 192 位元的大小。不過,在內部,所有DESede金鑰都是 192 位元。 請參閱下列備註 1 查看即將進行的變更。 |
| RSA | ECB |
|
實作 請參閱下列備註 1 查看即將進行的變更。 |
| RSA | ECB |
|
實作
|
| RSAAESWrap | ECB | OAEPPADDING |
實作 Cipher.WRAP_Mode 和 Cipher.UNWRAP_MODE。 |
支援的摘要
適用於 Java AWS CloudHSM 的軟體程式庫支援下列訊息摘要。
-
SHA-1 -
SHA-224 -
SHA-256 -
SHA-384 -
SHA-512
注意
長度小於 16 KB 的資料會在 上雜湊HSM,而較大的資料會在軟體中本機雜湊。
支援的雜湊型訊息驗證碼 (HMAC) 演算法
Java AWS CloudHSM 軟體程式庫支援下列HMAC演算法。
-
HmacSHA1 -
HmacSHA224 -
HmacSHA256 -
HmacSHA384 -
HmacSHA512
支援的登入/驗證機制
Java AWS CloudHSM 軟體程式庫支援下列類型的簽章和驗證。
RSA 簽章類型
-
NONEwithRSA -
SHA1withRSA -
SHA224withRSA -
SHA256withRSA -
SHA384withRSA -
SHA512withRSA -
SHA1withRSA/PSS -
SHA224withRSA/PSS -
SHA256withRSA/PSS -
SHA384withRSA/PSS -
SHA512withRSA/PSS
ECDSA 簽章類型
-
NONEwithECDSA -
SHA1withECDSA -
SHA224withECDSA -
SHA256withECDSA -
SHA384withECDSA -
SHA512withECDSA
機制註釋
【1】 根據NIST指引,2023 年之後處於 FIPS 模式的叢集不允許這樣做。對於處於非FIPS 模式的叢集,在 2023 年之後仍然允許。如需詳細資訊,請參閱 FIPS 140 合規:2024 機制棄用。
