Generación de claves simétricas Generación de claves asimétricas Temas relacionados de

Uso de la CLI de CloudHSM para generar claves

Antes de poder generar una clave, debe iniciar la CLI de CloudHSM e iniciar sesión como usuario de criptografía (CU). Para generar claves en el HSM, utilice el comando que corresponde al tipo de clave que desea generar.

Generación de claves simétricas

Use los comandos enumerados en key generate-symmetric para generar claves simétricas. Para ver todas las opciones disponibles, utilice el comando help key generate-symmetric.

Generación de una clave AES

Ejecute el comando key generate-symmetric aes para generar claves AES. Para ver todas las opciones disponibles, utilice el comando help key generate-symmetric aes.

El siguiente ejemplo genera una clave AES de 32 bytes.


aws-cloudhsm > key generate-symmetric aes \
    --label aes-example \
    --key-length-bytes 32

Argumentos

<LABEL>

Especifica la etiqueta de clave AES definida por el usuario.

Obligatorio: sí

<KEY-LENGTH-BYTES>

Especifica la longitud de la clave en bytes.

Valores válidos:

16, 24 y 32

Obligatorio: sí

<KEY_ATTRIBUTES>

Especifica una lista de atributos de clave separados por espacios que se debe configurar para la clave AES generada en forma de KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (por ejemplo, token=true).

Para obtener una lista de los atributos AWS CloudHSM clave compatibles, consulteAtributos de clave de la CLI de CloudHSM.

Obligatorio: no

<SESSION>

Crea una clave que solo existe en la sesión actual. La clave no se podrá recuperar una vez finalizada la sesión. Utilice este parámetro cuando necesite una clave solo brevemente, por ejemplo, una clave de encapsulamiento que cifre y, a continuación, descifre rápidamente otra clave. No utilice una clave de sesión para cifrar los datos que pueda necesitar descifrar una vez finalizada la sesión.

Para cambiar una clave de sesión por una clave persistente (token), use key set-attribute.

Las claves se generan como claves persistentes/token de forma predeterminada. El uso del parámetro <SESSION> modifica esta opción, creando una clave de sesión o efímera

Obligatorio: no

Generación de una clave secreta genérica

Ejecute el comando key generate-symmetric generic-secret para generar claves secretas genéricas. Para ver todas las opciones disponibles, utilice el comando help key generate-symmetric generic-secret.

El siguiente ejemplo genera una clave secreta genérica de 32 bytes.


aws-cloudhsm > key generate-symmetric generic-secret \
    --label generic-secret-example \
    --key-length-bytes 32

Argumentos

<LABEL>

Especifica una etiqueta definida por el usuario para la clave secreta genérica.

Obligatorio: sí

<KEY-LENGTH-BYTES>

Especifica la longitud de la clave en bytes.

Valores válidos:

1 a 800

Obligatorio: sí

<KEY_ATTRIBUTES>

Especifica una lista de atributos de clave separados por espacios que se deben establecer para la clave secreta genérica creada en forma de KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (por ejemplo, token=true)

Para obtener una lista de los atributos AWS CloudHSM clave compatibles, consulteAtributos de clave de la CLI de CloudHSM.

Obligatorio: no

<SESSION>

Para cambiar una clave de sesión por una clave persistente (token), use key set-attribute.

Las claves se generan como claves persistentes/token de forma predeterminada. El uso del parámetro <SESSION> modifica esta opción, creando una clave de sesión o efímera

Obligatorio: no

Generación de claves asimétricas

Use los comandos enumerados en clave generate-asymmetric-pair para generar pares de claves asimétricas.

Generación de claves RSA

Utilice el comando key generate-asymmetric-pair rsa para generar un par de claves RSA. Para ver todas las opciones disponibles, utilice el comando help key generate-asymmetric-pair rsa.

El siguiente ejemplo genera un par de claves RSA de 2048 bits.


aws-cloudhsm > key generate-asymmetric-pair rsa \
    --public-exponent 65537 \
    --modulus-size-bits 2048 \
    --public-label rsa-public-example \
    --private-label rsa-private-example

Argumentos

<PUBLIC_LABEL>

Especifica la etiqueta de clave pública definida por el usuario.

Obligatorio: sí

<PRIVATE_LABEL>

Especifica la etiqueta de clave privada definida por el usuario.

Obligatorio: sí

<MODULUS_SIZE_BITS>

Especifica la longitud del módulo en bits. El valor mínimo es 2048.

Obligatorio: sí

<PUBLIC_EXPONENT>

Especifica el exponente público. El valor debe ser un número impar superior o igual a 65537.

Obligatorio: sí

<PUBLIC_KEY_ATTRIBUTES>

Especifica una lista de atributos de clave separados por espacios que se deben establecer para la clave pública RSA generada en forma de KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (por ejemplo, token=true).

Para obtener una lista de los atributos AWS CloudHSM clave compatibles, consulteAtributos de clave de la CLI de CloudHSM.

Obligatorio: no

<SESSION>

Para cambiar una clave de sesión por una clave persistente (token), use key set-attribute.

Las claves se generan como claves persistentes/token de forma predeterminada. El uso del parámetro <SESSION> modifica esta opción, creando una clave de sesión o efímera

Obligatorio: no

Generación de pares de claves EC (criptografía de curva elíptica)

Utilice el comando key generate-asymmetric-pair ec para generar un par de claves EC. Para ver todas las opciones disponibles, incluida una lista de las curvas elípticas admitidas, use el comando help key generate-asymmetric-pair ec.

El siguiente ejemplo genera un par de claves EC usando la curva elíptica Secp384r1.


aws-cloudhsm > key generate-asymmetric-pair ec \
    --curve secp384r1 \
    --public-label ec-public-example \
    --private-label ec-private-example

Argumentos

<PUBLIC_LABEL>

Especifica la etiqueta de clave pública definida por el usuario. El tamaño máximo permitido label es de 127 caracteres para el SDK de cliente 5.11 y versiones posteriores. El SDK de cliente 5.10 y versiones anteriores tiene un límite de 126 caracteres.

Obligatorio: sí

<PRIVATE_LABEL>

Especifica la etiqueta de clave privada definida por el usuario. El tamaño máximo permitido label es de 127 caracteres para el SDK de cliente 5.11 y versiones posteriores. El SDK de cliente 5.10 y versiones anteriores tiene un límite de 126 caracteres.

Obligatorio: sí

<CURVE>

Especifica el identificador de la curva elíptica.

Valores válidos:

prime256v1
secp256r1
secp224r1
secp384r1
secp256k1
secp521r1

Obligatorio: sí

<PUBLIC_KEY_ATTRIBUTES>

Especifica una lista de atributos de clave separados por espacios que se deben establecer para la clave pública EC generada en forma de KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (por ejemplo, token=true)

Para obtener una lista de los atributos AWS CloudHSM clave compatibles, consulteAtributos de clave de la CLI de CloudHSM.

Obligatorio: no

<PRIVATE_KEY_ATTRIBUTES>

Especifica una lista de atributos de clave separados por espacios que se deben establecer para la clave privada EC generada en forma de KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (por ejemplo, token=true)

Para obtener una lista de los atributos AWS CloudHSM clave compatibles, consulteAtributos de clave de la CLI de CloudHSM.

Obligatorio: no

<SESSION>

Para cambiar una clave de sesión por una clave persistente (token), use key set-attribute.

De forma predeterminada, las claves que se generan son claves persistentes (token). La transferencia a <SESSION> cambia este estado, lo que garantiza que la clave generada con este argumento sea una clave de sesión (efímera).

Obligatorio: no

Temas relacionados de

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Administración de claves con la CLI de CloudHSM

Eliminación de claves