Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Atributos de clave de la CLI de CloudHSM
En este tema se describe cómo utilizar la CLI de CloudHSM para configurar atributos de clave. Un atributo de clave de la CLI de CloudHSM puede definir el tipo de clave, cómo puede funcionar o cómo se etiqueta una clave. Algunos atributos definen características únicas (por ejemplo, el tipo de clave). Otros atributos se pueden configurar como true o false; al cambiarlos, se activa o desactiva una parte de la funcionalidad de la clave.
Para ver ejemplos que muestran cómo usar los atributos de clave, consulte los comandos que aparecen debajo del comando principal key.
Atributos admitidos
Es recomendable que solamente establezca valores para los atributos que desee hacer más restrictivos. Si no se especifica ningún valor, la CLI de CloudHSM utilizará el valor predeterminado que se indica en la tabla siguiente.
En la siguiente tabla se enumeran los atributos de clave, los valores posibles, los valores predeterminados y las notas relacionadas. Una celda vacía en la columna Valor indica que no hay ningún valor predeterminado específico asignado al atributo.
Atributo de la CLI de CloudHSM | Valor | Modificable con un conjunto de claves y atributos | Configurable en el momento de la creación de la clave |
---|---|---|---|
always-sensitive |
El valor es |
No | No |
check-value |
Valor de comprobación de la clave. Para obtener más información, consulte Detalles adicionales. | No | No |
class |
Valores posibles: |
No | Sí |
curve |
Curva elíptica utilizada para generar el par de claves de EC. Los valores aceptados son: |
No | Se puede configurar con RSA, no se puede configurar con EC. |
decrypt |
Valor predeterminado: |
Sí | Sí |
derive |
Valor predeterminado: |
Sí | Sí |
destroyable |
Valor predeterminado: |
Sí | Sí |
ec-point |
Para las claves de EC, codificación DER del valor ECPoint ANSI X9.62 «Q» en formato hexadecimal. Para otros tipos de clave, este atributo no existe. |
No | No |
encrypt |
Valor predeterminado: |
Sí | Sí |
extractable |
Valor predeterminado: |
No | Sí |
id |
Valor predeterminado: vacío | No | Sí |
key-length-bytes |
Necesaria para generar una clave de AES. Valores válidos: |
No | No |
key-type |
Valores posibles: |
No | Sí |
label |
Valor predeterminado: vacío | Sí | Sí |
local |
Predeterminado: |
No | No |
modifiable |
Valor predeterminado: |
No | No |
modulus |
El módulo que se utilizó para generar un par de claves RSA. Para otros tipos de clave, este atributo no existe. | No | No |
modulus-size-bits |
Necesario para generar un par de claves de RSA. El valor mínimo es |
No | Se puede configurar con RSA, no se puede configurar con EC. |
never-extractable |
El valor es El valor es |
No | No |
private |
Valor predeterminado: |
No | Sí |
public-exponent |
Necesario para generar un par de claves de RSA. Valores válidos: el valor debe ser un número impar superior o igual a |
No | Se puede configurar con RSA, no se puede configurar con EC. |
sensitive |
Predeterminado:
|
No | Se puede configurar con claves privadas, no se puede configurar con claves públicas. |
sign |
Predeterminado:
|
Sí | Sí |
token |
Valor predeterminado: |
No | Sí |
trusted |
Valor predeterminado: |
Sí | No |
unwrap |
Valor predeterminado: False |
Sí | Sí |
unwrap-template |
Los valores deben usar la plantilla de atributo aplicada a cualquier clave desencapsulada mediante esta clave de encapsulamiento. | Sí | No |
verify |
Predeterminado:
|
Sí | Sí |
wrap |
Valor predeterminado: False |
Sí | Sí |
wrap-template |
Los valores deben usar la plantilla de atributo para coincidir con la clave encapsulada usando esta clave de encapsulamiento. | Sí | No |
wrap-with-trusted |
Valor predeterminado: |
Sí | Sí |
Detalles adicionales
- Compruebe el valor.
-
El valor de comprobación (KCV) es un hash o suma de comprobación de 3 bytes de una clave que se genera cuando el HSM importa o genera una clave. También puede calcular un valor de comprobación fuera del HSM, por ejemplo, después de exportar una clave. A continuación, puede comparar los valores de comprobación para confirmar la identidad y la integridad de la clave. Para obtener el valor de comprobación de una clave, utilice la lista de claves con el marcador Verbose.
AWS CloudHSM utiliza los siguientes métodos estándar para generar un valor de comprobación:
-
Claves simétricas: los primeros 3 bytes del resultado obtenido al cifrar un bloque cero con la clave.
-
Pares de claves asimétricas: los primeros 3 bytes del hash SHA-1 de la clave pública.
-
Claves HMAC: por el momento, no se admite el uso del KCV con claves HMAC.
-