Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Unterstützte Mechanismen für den JCE Anbieter für AWS CloudHSM Client SDK 3
Dieses Thema enthält Informationen zu den unterstützten Mechanismen für JCE Provider mit AWS CloudHSM Client SDK 5. Informationen zu den Java Cryptography Architecture (JCA) -Schnittstellen und Engine-Klassen, die von unterstützt werden AWS CloudHSM, finden Sie in den folgenden Themen.
Themen
- Schlüssel- und Schlüsselpaarfunktionen generieren
- Cipher-Funktionen
- Funktionen zum Signieren und Überprüfen
- Digest-Funktionen
- Funktionen des Hash-basierten Nachrichtenauthentifizierungscodes () HMAC
- Verschlüsselungsbasierte Funktionen für den Nachrichtenauthentifizierungscode () CMAC
- Mithilfe von Schlüsselfabriken können Schlüssel in Schlüsselspezifikationen umgewandelt werden
- Anmerkungen zum Mechanismus
Schlüssel- und Schlüsselpaarfunktionen generieren
Die AWS CloudHSM Softwarebibliothek für Java ermöglicht es Ihnen, die folgenden Operationen zum Generieren von Schlüssel- und Schlüsselpaarfunktionen zu verwenden.
-
RSA
-
EC
-
AES
-
DESede (Triple DES)
siehe Hinweis 1 -
GenericSecret
Cipher-Funktionen
Die AWS CloudHSM Softwarebibliothek für Java unterstützt die folgenden Kombinationen aus Algorithmus, Modus und Auffüllung.
Algorithmus | Mode | Padding | Hinweise |
---|---|---|---|
AES | CBC |
|
Implementiert Implementiert |
AES | ECB |
|
Implementiert |
AES | CTR |
|
Implementiert |
AES | GCM |
|
Implementiert Bei der GCM Verschlüsselung AES HSM ignoriert der den Initialisierungsvektor (IV) in der Anfrage und verwendet einen von ihm generierten IV-Wert. Nach Abschluss der Operation müssen Sie |
AESWrap | ECB |
|
Implementiert |
DESede(Dreifach) DES | CBC |
|
Implementiert |
DESede(DreifachDES) | ECB |
|
Implementiert |
RSA | ECB |
|
Implementiert |
RSA | ECB |
|
Implementiert |
RSAAESWrap | ECB |
|
Implementiert |
Funktionen zum Signieren und Überprüfen
Die AWS CloudHSM Softwarebibliothek für Java unterstützt die folgenden Arten der Signatur und Überprüfung. Bei Client SDK 5 und Signaturalgorithmen mit Hashing werden die Daten lokal in der Software gehasht, bevor sie HSM zur Signatur/Überprüfung an die gesendet werden. Das bedeutet, dass die Größe der Daten, die von der gehasht werden können, unbegrenzt ist. SDK
RSAArten von Signaturen
-
NONEwithRSA
-
RSASSA-PSS
-
SHA1withRSA
-
SHA1withRSA/PSS
-
SHA1withRSAandMGF1
-
SHA224withRSA
-
SHA224withRSAandMGF1
-
SHA224withRSA/PSS
-
SHA256withRSA
-
SHA256withRSAandMGF1
-
SHA256withRSA/PSS
-
SHA384withRSA
-
SHA384withRSAandMGF1
-
SHA384withRSA/PSS
-
SHA512withRSA
-
SHA512withRSAandMGF1
-
SHA512withRSA/PSS
ECDSAArten von Signaturen
-
NONEwithECDSA
-
SHA1withECDSA
-
SHA224withECDSA
-
SHA256withECDSA
-
SHA384withECDSA
-
SHA512withECDSA
Digest-Funktionen
Die AWS CloudHSM Softwarebibliothek für Java unterstützt die folgenden Message Digests. Bei Client SDK 5 werden die Daten lokal in der Software gehasht. Dies bedeutet, dass die Größe der Daten, die von der gehasht werden können, unbegrenzt ist. SDK
-
SHA-1
-
SHA-224
-
SHA-256
-
SHA-384
-
SHA-512
Funktionen des Hash-basierten Nachrichtenauthentifizierungscodes () HMAC
Die AWS CloudHSM Softwarebibliothek für Java unterstützt die folgenden HMAC Algorithmen.
-
HmacSHA1
(Maximale Datengröße in Byte: 16288) -
HmacSHA224
(Maximale Datengröße in Byte: 16256) -
HmacSHA256
(Maximale Datengröße in Byte: 16288) -
HmacSHA384
(Maximale Datengröße in Byte: 16224) -
HmacSHA512
(Maximale Datengröße in Byte: 16224)
Verschlüsselungsbasierte Funktionen für den Nachrichtenauthentifizierungscode () CMAC
CMACs(Verschlüsselungsbasierte Nachrichtenauthentifizierungscodes) erstellen Nachrichtenauthentifizierungscodes (MACs) mithilfe einer Blockchiffre und eines geheimen Schlüssels. Sie unterscheiden HMACs sich dadurch, dass sie eine blocksymmetrische Schlüsselmethode anstelle einer Hashing-Methode verwenden. MACs
Die AWS CloudHSM Softwarebibliothek für Java unterstützt die folgenden CMAC Algorithmen.
-
AESCMAC
Mithilfe von Schlüsselfabriken können Schlüssel in Schlüsselspezifikationen umgewandelt werden
Sie können Key Factorys verwenden, um Schlüssel in Schlüsselspezifikationen umzuwandeln. AWS CloudHSM hat zwei Arten von Schlüsselfabriken fürJCE:
SecretKeyFactory: Wird verwendet, um symmetrische Schlüssel zu importieren oder abzuleiten. Mithilfe SecretKeyFactory können Sie einen unterstützten Schlüssel oder einen unterstützten Schlüssel übergeben, in KeySpec den symmetrische Schlüssel importiert oder abgeleitet werden sollen. AWS CloudHSM Im Folgenden finden Sie die unterstützten Spezifikationen für: KeyFactory
-
Für die
generateSecret
Methode SecretKeyFactory von For werden die folgenden KeySpecKlassen unterstützt: KeyAttributesMapkann verwendet werden, um Schlüsselbytes mit zusätzlichen Attributen als HSM Cloud-Schlüssel zu importieren. Ein Beispiel finden Sie hier
. SecretKeySpec
kann verwendet werden, um eine symmetrische Schlüsselspezifikation als Cloud Key zu importieren. HSM AesCmacKdfParameterSpeckann verwendet werden, um symmetrische Schlüssel mit einem anderen Cloud Key abzuleiten. HSM AES
Anmerkung
SecretKeyFactoryDie translateKey
Methode verwendet jeden Schlüssel, der die Schlüsselschnittstelle
KeyFactory: Wird für den Import asymmetrischer Schlüssel verwendet. Mithilfe KeyFactory können Sie einen unterstützten Schlüssel oder einen unterstützten Schlüssel übergeben, in KeySpec den ein asymmetrischer Schlüssel importiert werden soll. AWS CloudHSM Weitere Informationen finden Sie in folgenden verwandten Ressourcen:
Für die
generatePublic
Methode KeyFactory von For werden die folgenden KeySpecKlassen unterstützt: Cloud HSM KeyAttributesMap für beide RSA und EC KeyTypes, einschließlich:
Cloud HSM KeyAttributesMap für beide RSA und EC public KeyTypes. Ein Beispiel finden Sie hier
. X509 EncodedKeySpec
für beide RSA und EC Public Key RSAPublicKeySpec
für RSA Public Key ECPublicKeySpec
für EC Public Key
Für die
generatePrivate
Methode KeyFactory von For werden die folgenden KeySpecKlassen unterstützt: Cloud HSM KeyAttributesMap für beide RSA und EC KeyTypes, einschließlich:
Cloud HSM KeyAttributesMap für beide RSA und EC public KeyTypes. Ein Beispiel finden Sie hier
. PKCS8EncodedKeySpec
sowohl für EC als auch für RSA Private Key RSAPrivateCrtKeySpec
für RSA Private Key ECPrivateKeySpec
für EC Private Key
KeyFactoryDie translateKey
Methode von For nimmt jeden Schlüssel auf, der das Key Interface
Anmerkungen zum Mechanismus
[1] Gemäß den NIST Leitlinien ist dies für Cluster, die sich nach 2023 im FIPS Modus befinden, nicht zulässig. Für Cluster, die sich nicht im FIPS Modus befinden, ist dies auch nach 2023 zulässig. Details dazu finden Sie unter FIPS140-Konformität: Der Mechanismus wird 2024 nicht mehr unterstützt.