Legen Sie die Attribute von AWS CloudHSM Schlüsseln fest mit CMU - AWS CloudHSM
BenutzertypSyntaxBeispielArgumenteVerwandte Themen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Legen Sie die Attribute von AWS CloudHSM Schlüsseln fest mit CMU

Verwenden Sie den setAttribute Befehl in AWS CloudHSM cloudhsm_mgmt_util, um den Wert der Attribute label, encrypt, decrypt, wrap und unwrap eines Schlüssels in der zu ändern. HSMs Sie können auch den setAttributeBefehl in key_mgmt_util verwenden, um einen Sitzungsschlüssel in einen persistenten Schlüssel zu konvertieren. Sie können nur die Attribute der Schlüssel ändern, deren Eigentümer Sie sind.

Bevor Sie einen CMU Befehl ausführen, müssen Sie den starten CMU und sich dort anmelden. HSM Stellen Sie sicher, dass Sie sich mit einem Benutzertyp anmelden, der die Befehle ausführen kann, die Sie verwenden möchten.

Wenn Sie etwas hinzufügen oder löschenHSMs, aktualisieren Sie die Konfigurationsdateien fürCMU. Andernfalls sind die Änderungen, die Sie vornehmen, möglicherweise nicht für alle Mitglieder HSMs des Clusters wirksam.

Benutzertyp

Die folgenden Benutzer können diesen Befehl ausführen.

  • Crypto-Benutzer (Crypto User, CU)

Syntax

Da dieser Befehl keine benannten Parameter hat, müssen Sie die Argumente in der im Syntaxdiagramm angegebenen Reihenfolge eingeben.

setAttribute <key handle> <attribute id>

Beispiel

Das folgende Beispiel zeigt, wie die Entschlüsselungsfunktionen eines symmetrischen Schlüssels deaktiviert werden. Sie können einen Befehl wie diesen verwenden, um einen Verpackungsschlüssel zu konfigurieren, der andere Schlüssel verpacken und entpacken, aber nicht Daten verschlüsseln oder entschlüsseln kann.

Der erste Schritt ist das Erstellen des Verpackungsschlüssels. Dieser Befehl verwendet genSymKeyin key_mgmt_util, um einen symmetrischen 256-Bit-Schlüssel zu generieren. AES Die Ausgabe zeigt, dass der neue Schlüssel das Schlüssel-Handle 14 aufweist.

$  genSymKey -t 31 -s 32 -l aes256

Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS

        Symmetric Key Created.  Key Handle: 14

        Cluster Error Status
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

Als nächstes werden wir den aktuellen Wert des Entschlüsselungsattributs bestätigen. Um die Attribut-ID des Decrypt-Attributs abzurufen, verwenden Sie. listAttributes Die Ausgabe zeigt, dass die Konstante, die das OBJ_ATTR_DECRYPT-Attribut darstellt, 261 lautet. Hilfe zur Interpretation der Schlüsselattribute finden Sie unter AWS CloudHSM Referenz zu Schlüsselattributen für KMU.

aws-cloudhsm> listAttributes

Following are the possible attribute values for getAttribute:

      OBJ_ATTR_CLASS                  = 0
      OBJ_ATTR_TOKEN                  = 1
      OBJ_ATTR_PRIVATE                = 2
      OBJ_ATTR_LABEL                  = 3
      OBJ_ATTR_TRUSTED                = 134
      OBJ_ATTR_KEY_TYPE               = 256
      OBJ_ATTR_ID                     = 258
      OBJ_ATTR_SENSITIVE              = 259
      OBJ_ATTR_ENCRYPT                = 260
      OBJ_ATTR_DECRYPT                = 261
      OBJ_ATTR_WRAP                   = 262
      OBJ_ATTR_UNWRAP                 = 263
      OBJ_ATTR_SIGN                   = 264
      OBJ_ATTR_VERIFY                 = 266
      OBJ_ATTR_DERIVE                 = 268
      OBJ_ATTR_LOCAL                  = 355
      OBJ_ATTR_MODULUS                = 288
      OBJ_ATTR_MODULUS_BITS           = 289
      OBJ_ATTR_PUBLIC_EXPONENT        = 290
      OBJ_ATTR_VALUE_LEN              = 353
      OBJ_ATTR_EXTRACTABLE            = 354
      OBJ_ATTR_NEVER_EXTRACTABLE      = 356
      OBJ_ATTR_ALWAYS_SENSITIVE       = 357
      OBJ_ATTR_DESTROYABLE            = 370
      OBJ_ATTR_KCV                    = 371
      OBJ_ATTR_WRAP_WITH_TRUSTED      = 528
      OBJ_ATTR_WRAP_TEMPLATE          = 1073742353
      OBJ_ATTR_UNWRAP_TEMPLATE        = 1073742354
      OBJ_ATTR_ALL                    = 512

Um den aktuellen Wert des Decrypt-Attributs für Schlüssel 14 abzurufen, verwendet der nächste Befehl getAttributein cloudhsm_mgmt_util.

Die Ausgabe zeigt, dass der Wert des Decrypt-Attributs für beide im Cluster wahr (1) ist. HSMs

aws-cloudhsm> getAttribute 14 261
      
Attribute Value on server 0(10.0.0.1):
OBJ_ATTR_DECRYPT
0x00000001

Attribute Value on server 1(10.0.0.2):
OBJ_ATTR_DECRYPT
0x00000001

Dieser Befehl verwendet setAttribute, um den Wert des Entschlüsselungsattributs (Attribut 261) des Schlüssels 14 auf 0 zu ändern. Dies deaktiviert die Entschlüsselungsfunktion des Schlüssels.

Die Ausgabe zeigt, dass der Befehl auf beiden HSMs Clustern erfolgreich war.

aws-cloudhsm> setAttribute 14 261 0
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)? y
setAttribute success on server 0(10.0.0.1)
setAttribute success on server 1(10.0.0.2)

Der letzte Befehl wiederholt den Befehl getAttribute. Es wird wieder das Entschlüsselungsattribut (Attribut 261) des Schlüssels 14 abgerufen.

Diesmal zeigt die Ausgabe, dass der Wert des Decrypt-Attributs für beide HSMs im Cluster falsch (0) ist.

aws-cloudhsm>getAttribute 14 261
Attribute Value on server 0(10.0.3.6):
OBJ_ATTR_DECRYPT
0x00000000

Attribute Value on server 1(10.0.1.7):
OBJ_ATTR_DECRYPT
0x00000000

Argumente

setAttribute <key handle> <attribute id>
<key-handle>

Gibt das Schlüssel-Handle eines Schlüssels an, dessen Eigentümer Sie sind. Sie können nur jeweils einen Schlüssel in den einzelnen Befehlen angeben. Um das Schlüssel-Handle eines Schlüssels abzurufen, verwenden Sie findKeyin key_mgmt_util. Um die Benutzer eines Schlüssels zu finden, verwenden Sie. getKeyInfo

Erforderlich: Ja

<attribute id>

Gibt die Konstante an, die das Attribut darstellt, das Sie ändern möchten. Sie können nur jeweils ein Attribut in den einzelnen Befehlen angeben. Um die Attribute und ihre Ganzzahlwerte abzurufen, verwenden Sie listAttributes. Hilfe zur Interpretation der Schlüsselattribute finden Sie unter AWS CloudHSM Referenz zu Schlüsselattributen für KMU.

Zulässige Werte:

  • 3OBJ_ATTR_LABEL.

  • 134OBJ_ATTR_TRUSTED.

  • 260OBJ_ATTR_ENCRYPT.

  • 261OBJ_ATTR_DECRYPT.

  • 262OBJ_ATTR_WRAP.

  • 263OBJ_ATTR_UNWRAP.

  • 264OBJ_ATTR_SIGN.

  • 266OBJ_ATTR_VERIFY.

  • 268OBJ_ATTR_DERIVE.

  • 370OBJ_ATTR_DESTROYABLE.

  • 528OBJ_ATTR_WRAP_WITH_TRUSTED.

  • 1073742353OBJ_ATTR_WRAP_TEMPLATE.

  • 1073742354OBJ_ATTR_UNWRAP_TEMPLATE.

Erforderlich: Ja

Verwandte Themen