Unterstützte Mechanismen für den JCE Anbieter für AWS CloudHSM Client SDK 3

Dieses Thema enthält Informationen zu den unterstützten Mechanismen für JCE Provider mit AWS CloudHSM Client SDK 5. Informationen zu den Java Cryptography Architecture (JCA) -Schnittstellen und Engine-Klassen, die von unterstützt werden AWS CloudHSM, finden Sie in den folgenden Themen.

Schlüssel- und Schlüsselpaarfunktionen generieren

Die AWS CloudHSM Softwarebibliothek für Java ermöglicht es Ihnen, die folgenden Operationen zum Generieren von Schlüssel- und Schlüsselpaarfunktionen zu verwenden.

• RSA

• EC

• AES

• DESede (Triple DES)^{siehe Hinweis 1}

• GenericSecret

Cipher-Funktionen

Die AWS CloudHSM Softwarebibliothek für Java unterstützt die folgenden Kombinationen aus Algorithmus, Modus und Auffüllung.

Algorithmus	Mode	Padding	Hinweise
AES	CBC	AES/CBC/NoPadding AES/CBC/PKCS5Padding	Implementiert Cipher.ENCRYPT_MODE und Cipher.DECRYPT_MODE. Implementiert Cipher.UNWRAP_MODE for AES/CBC NoPadding
AES	ECB	AES/ECB/PKCS5Padding AES/ECB/NoPadding	Implementiert Cipher.ENCRYPT_MODE und Cipher.DECRYPT_MODE.
AES	CTR	AES/CTR/NoPadding	Implementiert Cipher.ENCRYPT_MODE und Cipher.DECRYPT_MODE.
AES	GCM	AES/GCM/NoPadding	Implementiert Cipher.WRAP_MODE, Cipher.UNWRAP_MODE, Cipher.ENCRYPT_MODE und Cipher.DECRYPT_MODE. Bei der GCM Verschlüsselung AES HSM ignoriert der den Initialisierungsvektor (IV) in der Anfrage und verwendet einen von ihm generierten IV-Wert. Nach Abschluss der Operation müssen Sie Cipher.getIV() abrufen, um den IV zu erhalten.
AESWrap	ECB	AESWrap/ECB/NoPadding AESWrap/ECB/PKCS5Padding AESWrap/ECB/ZeroPadding	Implementiert Cipher.WRAP_MODE und Cipher.UNWRAP_MODE.
DESede(Dreifach) DES	CBC	DESede/CBC/PKCS5Padding DESede/CBC/NoPadding	Implementiert Cipher.ENCRYPT_MODE und Cipher.DECRYPT_MODE. Eine bevorstehende Änderung finden Sie im Hinweis 1 unten.
DESede(DreifachDES)	ECB	DESede/ECB/NoPadding DESede/ECB/PKCS5Padding	Implementiert Cipher.ENCRYPT_MODE und Cipher.DECRYPT_MODE. Eine bevorstehende Änderung finden Sie im Hinweis 1 unten.
RSA	ECB	RSA/ECB/PKCS1Padding siehe Hinweis 1 RSA/ECB/OAEPPadding RSA/ECB/OAEPWithSHA-1ANDMGF1Padding RSA/ECB/OAEPWithSHA-224ANDMGF1Padding RSA/ECB/OAEPWithSHA-256ANDMGF1Padding RSA/ECB/OAEPWithSHA-384ANDMGF1Padding RSA/ECB/OAEPWithSHA-512ANDMGF1Padding	Implementiert Cipher.WRAP_MODE, Cipher.UNWRAP_MODE, Cipher.ENCRYPT_MODE und Cipher.DECRYPT_MODE.
RSA	ECB	RSA/ECB/NoPadding	Implementiert Cipher.ENCRYPT_MODE und Cipher.DECRYPT_MODE.
RSAAESWrap	ECB	RSAAESWrap/ECB/OAEPPadding RSAAESWrap/ECB/OAEPWithSHA-1ANDMGF1Padding RSAAESWrap/ECB/OAEPWithSHA-224ANDMGF1Padding RSAAESWrap/ECB/OAEPWithSHA-256ANDMGF1Padding RSAAESWrap/ECB/OAEPWithSHA-384ANDMGF1Padding RSAAESWrap/ECB/OAEPWithSHA-512ANDMGF1Padding	Implementiert Cipher.WRAP_MODE und Cipher.UNWRAP_MODE.

Funktionen zum Signieren und Überprüfen

Die AWS CloudHSM Softwarebibliothek für Java unterstützt die folgenden Arten der Signatur und Überprüfung. Bei Client SDK 5 und Signaturalgorithmen mit Hashing werden die Daten lokal in der Software gehasht, bevor sie HSM zur Signatur/Überprüfung an die gesendet werden. Das bedeutet, dass die Größe der Daten, die von der gehasht werden können, unbegrenzt ist. SDK

RSAArten von Signaturen

• NONEwithRSA

• RSASSA-PSS

• SHA1withRSA

• SHA1withRSA/PSS

• SHA1withRSAandMGF1

• SHA224withRSA

• SHA224withRSAandMGF1

• SHA224withRSA/PSS

• SHA256withRSA

• SHA256withRSAandMGF1

• SHA256withRSA/PSS

• SHA384withRSA

• SHA384withRSAandMGF1

• SHA384withRSA/PSS

• SHA512withRSA

• SHA512withRSAandMGF1

• SHA512withRSA/PSS

ECDSAArten von Signaturen

• NONEwithECDSA

• SHA1withECDSA

• SHA224withECDSA

• SHA256withECDSA

• SHA384withECDSA

• SHA512withECDSA

Digest-Funktionen

Die AWS CloudHSM Softwarebibliothek für Java unterstützt die folgenden Message Digests. Bei Client SDK 5 werden die Daten lokal in der Software gehasht. Dies bedeutet, dass die Größe der Daten, die von der gehasht werden können, unbegrenzt ist. SDK

• SHA-1

• SHA-224

• SHA-256

• SHA-384

• SHA-512

Funktionen des Hash-basierten Nachrichtenauthentifizierungscodes () HMAC

Die AWS CloudHSM Softwarebibliothek für Java unterstützt die folgenden HMAC Algorithmen.

• HmacSHA1(Maximale Datengröße in Byte: 16288)

• HmacSHA224(Maximale Datengröße in Byte: 16256)

• HmacSHA256(Maximale Datengröße in Byte: 16288)

• HmacSHA384(Maximale Datengröße in Byte: 16224)

• HmacSHA512(Maximale Datengröße in Byte: 16224)

Verschlüsselungsbasierte Funktionen für den Nachrichtenauthentifizierungscode () CMAC

CMACs(Verschlüsselungsbasierte Nachrichtenauthentifizierungscodes) erstellen Nachrichtenauthentifizierungscodes (MACs) mithilfe einer Blockchiffre und eines geheimen Schlüssels. Sie unterscheiden HMACs sich dadurch, dass sie eine blocksymmetrische Schlüsselmethode anstelle einer Hashing-Methode verwenden. MACs

Die AWS CloudHSM Softwarebibliothek für Java unterstützt die folgenden CMAC Algorithmen.

• AESCMAC

Mithilfe von Schlüsselfabriken können Schlüssel in Schlüsselspezifikationen umgewandelt werden

Sie können Key Factorys verwenden, um Schlüssel in Schlüsselspezifikationen umzuwandeln. AWS CloudHSM hat zwei Arten von Schlüsselfabriken fürJCE:

SecretKeyFactory: Wird verwendet, um symmetrische Schlüssel zu importieren oder abzuleiten. Mithilfe SecretKeyFactory können Sie einen unterstützten Schlüssel oder einen unterstützten Schlüssel übergeben, in KeySpec den symmetrische Schlüssel importiert oder abgeleitet werden sollen. AWS CloudHSM Im Folgenden finden Sie die unterstützten Spezifikationen für: KeyFactory

• Für die generateSecret Methode SecretKeyFactory von For werden die folgenden KeySpecKlassen unterstützt:

  • KeyAttributesMapkann verwendet werden, um Schlüsselbytes mit zusätzlichen Attributen als HSM Cloud-Schlüssel zu importieren. Ein Beispiel finden Sie hier.

  • SecretKeySpeckann verwendet werden, um eine symmetrische Schlüsselspezifikation als Cloud Key zu importieren. HSM

  • AesCmacKdfParameterSpeckann verwendet werden, um symmetrische Schlüssel mit einem anderen Cloud Key abzuleiten. HSM AES

Anmerkung

SecretKeyFactoryDie translateKey Methode verwendet jeden Schlüssel, der die Schlüsselschnittstelle implementiert.

KeyFactory: Wird für den Import asymmetrischer Schlüssel verwendet. Mithilfe KeyFactory können Sie einen unterstützten Schlüssel oder einen unterstützten Schlüssel übergeben, in KeySpec den ein asymmetrischer Schlüssel importiert werden soll. AWS CloudHSM Weitere Informationen finden Sie in folgenden verwandten Ressourcen:

• Für die generatePublic Methode KeyFactory von For werden die folgenden KeySpecKlassen unterstützt:

• Cloud HSM KeyAttributesMap für beide RSA und EC KeyTypes, einschließlich:

  • Cloud HSM KeyAttributesMap für beide RSA und EC public KeyTypes. Ein Beispiel finden Sie hier.

  • X509 EncodedKeySpec für beide RSA und EC Public Key

  • RSAPublicKeySpecfür RSA Public Key

  • ECPublicKeySpecfür EC Public Key

• Für die generatePrivate Methode KeyFactory von For werden die folgenden KeySpecKlassen unterstützt:

• Cloud HSM KeyAttributesMap für beide RSA und EC KeyTypes, einschließlich:

  • Cloud HSM KeyAttributesMap für beide RSA und EC public KeyTypes. Ein Beispiel finden Sie hier.

  • PKCS8EncodedKeySpecsowohl für EC als auch für RSA Private Key

  • RSAPrivateCrtKeySpecfür RSA Private Key

  • ECPrivateKeySpecfür EC Private Key

KeyFactoryDie translateKey Methode von For nimmt jeden Schlüssel auf, der das Key Interface implementiert.

Anmerkungen zum Mechanismus

[1] Gemäß den NIST Leitlinien ist dies für Cluster, die sich nach 2023 im FIPS Modus befinden, nicht zulässig. Für Cluster, die sich nicht im FIPS Modus befinden, ist dies auch nach 2023 zulässig. Details dazu finden Sie unter FIPS140-Konformität: Der Mechanismus wird 2024 nicht mehr unterstützt.