Atributos admitidos Detalles adicionales Temas relacionados de

Atributos de clave de la CLI de CloudHSM

En este tema se describe cómo utilizar la CLI de CloudHSM para configurar atributos de clave. Un atributo de clave de la CLI de CloudHSM puede definir el tipo de clave, cómo puede funcionar o cómo se etiqueta una clave. Algunos atributos definen características únicas (por ejemplo, el tipo de clave). Otros atributos se pueden configurar como true o false; al cambiarlos, se activa o desactiva una parte de la funcionalidad de la clave.

Para ver ejemplos que muestran cómo usar los atributos de clave, consulte los comandos que aparecen debajo del comando principal key.

Atributos admitidos

Es recomendable que solamente establezca valores para los atributos que desee hacer más restrictivos. Si no se especifica ningún valor, la CLI de CloudHSM utilizará el valor predeterminado que se indica en la tabla siguiente.

En la siguiente tabla se enumeran los atributos de clave, los valores posibles, los valores predeterminados y las notas relacionadas. Una celda vacía en la columna Valor indica que no hay ningún valor predeterminado específico asignado al atributo.

Atributo de la CLI de CloudHSM	Valor	Modificable con un conjunto de claves y atributos	Configurable en el momento de la creación de la clave
`always-sensitive`	El valor es `True` si `sensitive` siempre se ha establecido como `True` y nunca ha cambiado.	No	No
`check-value`	Valor de comprobación de la clave. Para obtener más información, consulte Detalles adicionales.	No	No
`class`	Valores posibles: `secret-key`, `public-key` y `private-key`.	No	Sí
`curve`	Curva elíptica utilizada para generar el par de claves de EC. Los valores aceptados son: `secp224r1`, `secp256r1`, `prime256v1`, `secp384r1`, `secp256k1` y `secp521r1`.	No	Se puede configurar con RSA, no se puede configurar con EC.
`decrypt`	Valor predeterminado: `False`	Sí	Sí
`derive`	Valor predeterminado: `False`	Sí	Sí
`destroyable`	Valor predeterminado: `True`	Sí	Sí
`ec-point`	Para las claves de EC, codificación DER del valor ECPoint ANSI X9.62 «Q» en formato hexadecimal. Para otros tipos de clave, este atributo no existe.	No	No
`encrypt`	Valor predeterminado: `False`	Sí	Sí
`extractable`	Valor predeterminado: `True`	No	Sí
`id`	Valor predeterminado: vacío	No	Sí
`key-length-bytes`	Necesaria para generar una clave de AES. Valores válidos: `16`, `24` y `32` bytes.	No	No
`key-type`	Valores posibles: `aes`, `rsa` y `ec`	No	Sí
`label`	Valor predeterminado: vacío	Sí	Sí
`local`	Predeterminado: `True` para las claves generadas en el HSM, `False` para las claves importadas en el HSM.	No	No
`modifiable`	Valor predeterminado: `True`	No	No
`modulus`	El módulo que se utilizó para generar un par de claves RSA. Para otros tipos de clave, este atributo no existe.	No	No
`modulus-size-bits`	Necesario para generar un par de claves de RSA. El valor mínimo es `2048`.	No	Se puede configurar con RSA, no se puede configurar con EC.
`never-extractable`	El valor es `True` si nunca se ha establecido la opción extraíble como `False`. El valor es `False` si nunca se ha establecido la opción extraíble como `True`.	No	No
`private`	Valor predeterminado: `True`	No	Sí
`public-exponent`	Necesario para generar un par de claves de RSA. Valores válidos: el valor debe ser un número impar superior o igual a `65537`.	No	Se puede configurar con RSA, no se puede configurar con EC.
`sensitive`	Predeterminado: El valor es `True` para las claves de AES y las claves privadas de EC y RSA. El valor es `False` para las claves públicas de EC y RSA.	No	Se puede configurar con claves privadas, no se puede configurar con claves públicas.
`sign`	Predeterminado: El valor es `True` para las claves de AES. El valor es `False` para claves RSA y EC.	Sí	Sí
`token`	Valor predeterminado: `False`	No	Sí
`trusted`	Valor predeterminado: `False`	Sí	No
`unwrap`	Valor predeterminado: `False`	Sí	Sí
`unwrap-template`	Los valores deben usar la plantilla de atributo aplicada a cualquier clave desencapsulada mediante esta clave de encapsulamiento.	Sí	No
`verify`	Predeterminado: El valor es `True` para las claves de AES. El valor es `False` para claves RSA y EC.	Sí	Sí
`wrap`	Valor predeterminado: `False`	Sí	Sí
`wrap-template`	Los valores deben usar la plantilla de atributo para coincidir con la clave encapsulada usando esta clave de encapsulamiento.	Sí	No
`wrap-with-trusted`	Valor predeterminado: `False`	Sí	Sí

Detalles adicionales

Compruebe el valor.

El valor de comprobación (KCV) es un hash o suma de comprobación de 3 bytes de una clave que se genera cuando el HSM importa o genera una clave. También puede calcular un valor de comprobación fuera del HSM, por ejemplo, después de exportar una clave. A continuación, puede comparar los valores de comprobación para confirmar la identidad y la integridad de la clave. Para obtener el valor de comprobación de una clave, utilice la lista de claves con el marcador Verbose.

AWS CloudHSM utiliza los siguientes métodos estándar para generar un valor de comprobación:

Claves simétricas: los primeros 3 bytes del resultado obtenido al cifrar un bloque cero con la clave.
Pares de claves asimétricas: los primeros 3 bytes del hash SHA-1 de la clave pública.
Claves HMAC: por el momento, no se admite el uso del KCV con claves HMAC.

Temas relacionados de

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Modos interactivo y de comando único

Migre de CMU y KMU a CloudHSM CLI