Menafsirkan log audit HSM

Peristiwa dalam log audit HSM memiliki bidang standar. Beberapa jenis peristiwa memiliki bidang tambahan yang menangkap informasi yang berguna tentang peristiwa tersebut. Misalnya, peristiwa login pengguna dan manajemen pengguna termasuk nama pengguna dan jenis pengguna dari pengguna. Perintah manajemen kunci termasuk handel kunci.

Beberapa bidang memberikan informasi yang sangat penting. Opcode mengidentifikasi perintah manajemen yang sedang dicatat. Sequence No mengidentifikasi peristiwa dalam pengaliran log dan menunjukkan urutan pencatatannya.

Sebagai contoh, contoh peristiwa berikut ini adalah peristiwa kedua (Sequence No: 0x1) dalam pengaliran log untuk HSM. Peristiwa ini menunjukkan HSM menghasilkan kunci enkripsi kata sandi, yang merupakan bagian dari rutinitas awal.


Time: 12/19/17 21:01:17.140812, usecs:1513717277140812
Sequence No : 0x1
Reboot counter : 0xe8
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_GEN_PSWD_ENC_KEY (0x1d)
Session Handle : 0x1004001
Response : 0:HSM Return: SUCCESS
Log type : MINIMAL_LOG_ENTRY (0)

Bidang berikut ini umum untuk setiap AWS CloudHSM peristiwa di log audit.

Waktu

Waktu terjadinya peristiwa di zona waktu UTC. Waktu ditampilkan sebagai waktu yang dapat dibaca manusia dan waktu Unix dalam mikrodetik.

Penghitung reboot

Penghitung ordinal persisten 32-bit yang bertambah saat perangkat keras HSM reboot.

Semua peristiwa dalam pengaliran log memiliki nilai penghitung reboot. Namun, penghitung reboot counter mungkin tidak unik untuk pengaliran log, karena dapat berbeda di berbagai instans HSM yang berbeda di klaster yang sama.

No Urut

Penghitung ordinal 64-bit yang bertambah untuk setiap peristiwa log. Peristiwa pertama di setiap pengaliran log memiliki nomor urut 0x0. Seharusnya tidak ada celah di nilai Sequence No. Nomor urut unik hanya dalam pengaliran log.

Jenis perintah

Nilai heksadesimal yang mewakili kategori perintah. Perintah dalam pengaliran log AWS CloudHSM memiliki jenis perintah CN_MGMT_CMD (0x0) atau CN_CERT_AUTH_CMD (0x9).

Opcode

Mengidentifikasi perintah manajemen yang dieksekusi. Untuk daftar Opcode nilai dalam log AWS CloudHSM audit, lihatReferensi log audit HSM.

Handel sesi

Mengidentifikasi sesi di mana perintah dijalankan dan peristiwa dicatat.

Jawaban

Mencatat respons terhadap perintah manajemen. Anda dapat mencari bidang Response untuk SUCCESS dan nilai ERROR.

Jenis log

Menunjukkan jenis log AWS CloudHSM log yang merekam perintah.

MINIMAL_LOG_ENTRY (0)
MGMT_KEY_DETAILS_LOG (1)
MGMT_USER_DETAILS_LOG (2)
GENERIC_LOG

Contoh peristiwa log audit

Peristiwa dalam pengaliran log mencatat riwayat HSM dari pembuatan hingga penghapusan. Anda dapat menggunakan log untuk meninjau siklus hidup HSM Anda dan mendapatkan wawasan tentang operasinya. Ketika Anda menafsirkan peristiwa, catat Opcode, yang menunjukkan perintah atau tindakan manajemen, dan Sequence No, yang menunjukkan urutan peristiwa.

Topik

Contoh: Inisialisasi HSM pertama dalam sebuah cluster
Login dan logout acara
Contoh: Membuat dan menghapus pengguna
Contoh: Membuat dan menghapus key pair
Contoh: Menghasilkan dan menyinkronkan kunci
Contoh: Ekspor kunci
Contoh: Impor kunci
Contoh: Bagikan dan batalkan pembagian kunci

Contoh: Inisialisasi HSM pertama dalam sebuah cluster

Pengaliran log audit untuk HSM pertama di setiap klaster berbeda secara signifikan dari pengaliran log HSM lain di klaster. Log audit untuk HSM pertama di setiap klaster mencatat pembuatan dan inisialisasinya. Log HSM tambahan di klaster, yang dihasilkan dari cadangan, dimulai dengan peristiwa login.

penting

Entri inisialisasi berikut tidak akan muncul di CloudWatch log klaster yang diinisialisasi sebelum rilis fitur pencatatan audit CloudHSM (30 Agustus 2018). Untuk informasi lebih lanjut, lihat Riwayat Dokumentasi.

Contoh peristiwa berikut muncul dalam pengaliran log untuk HSM pertama dalam sebuah klaster. Peristiwa pertama dalam log — peristiwa dengan Sequence No 0x0 — mewakili perintah untuk menginisialisasi HSM (CN_INIT_TOKEN). Tanggapan menunjukkan bahwa perintah berhasil (Response : 0: HSM Return: SUCCESS).


Time: 12/19/17 21:01:16.962174, usecs:1513717276962174
Sequence No : 0x0
Reboot counter : 0xe8
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_INIT_TOKEN (0x1)
Session Handle : 0x1004001
Response : 0:HSM Return: SUCCESS
Log type : MINIMAL_LOG_ENTRY (0)

Peristiwa kedua dalam contoh ini, pengaliran log (Sequence No 0x1), mencatat perintah untuk membuat kunci enkripsi kata sandi yang menggunakan HSM (CN_GEN_PSWD_ENC_KEY).

Ini adalah urutan awalan khas untuk HSM pertama di setiap klaster. Karena HSM berikutnya di klaster yang sama adalah klon dari yang pertama, HSM tersebut menggunakan kunci enkripsi kata sandi yang sama.


Time: 12/19/17 21:01:17.140812, usecs:1513717277140812
Sequence No : 0x1
Reboot counter : 0xe8
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_GEN_PSWD_ENC_KEY (0x1d)
Session Handle : 0x1004001
Response : 0:HSM Return: SUCCESS
Log type : MINIMAL_LOG_ENTRY (0)

Peristiwa ketiga dalam contoh pengaliran log ini (Sequence No 0x2) adalah pembuatan pengguna peralatan (AU), yang merupakan layanan AWS CloudHSM . Peristiwa yang melibatkan pengguna HSM termasuk bidang tambahan untuk nama pengguna dan jenis pengguna.


Time: 12/19/17 21:01:17.174902, usecs:1513717277174902
Sequence No : 0x2
Reboot counter : 0xe8
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_CREATE_APPLIANCE_USER (0xfc)
Session Handle : 0x1004001
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : app_user
User Type : CN_APPLIANCE_USER (5)

Peristiwa keempat dalam contoh ini pengaliran log (Sequence No 0x3) mencatat peristiwa CN_INIT_DONE, yang melengkapi inisialisasi HSM.


Time: 12/19/17 21:01:17.298914, usecs:1513717277298914
Sequence No : 0x3
Reboot counter : 0xe8
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_INIT_DONE (0x95)
Session Handle : 0x1004001
Response : 0:HSM Return: SUCCESS
Log type : MINIMAL_LOG_ENTRY (0)

Anda dapat mengikuti peristiwa yang tersisa dalam urutan memulai. Peristiwa ini mungkin termasuk beberapa peristiwa login dan logout, dan pembuatan kunci enkripsi kunci (KEK). Peristiwa berikut mencatat perintah yang mengubah kata sandipetugas precrypto (PRECO). Perintah ini mengaktifkan klaster.


Time: 12/13/17 23:04:33.846554, usecs:1513206273846554
Sequence No: 0x1d
Reboot counter: 0xe8
Command Type(hex): CN_MGMT_CMD (0x0)
Opcode: CN_CHANGE_PSWD (0x9)
Session Handle: 0x2010003
Response: 0:HSM Return: SUCCESS
Log type: MGMT_USER_DETAILS_LOG (2)
User Name: admin
User Type: CN_CRYPTO_PRE_OFFICER (6)

Saat menafsirkan log audit Anda, catat peristiwa yang mencatat pengguna masuk dan keluar dari HSM. Peristiwa ini membantu Anda menentukan pengguna yang bertanggung jawab atas perintah manajemen yang muncul secara berurutan antara perintah login dan logout.

Misalnya, entri log ini mencatat login oleh petugas kripto (CO) bernama admin. Nomor urut, 0x0, menunjukkan bahwa ini adalah peristiwa pertama dalam pengaliran log.

Ketika pengguna masuk ke HSM, HSM lain di klaster juga mencatat peristiwa login untuk pengguna. Anda dapat menemukan peristiwa login yang sesuai di pengaliran log HSM lainnya di klaster tak lama setelah peristiwa login awal.


Time: 01/16/18 01:48:49.824999, usecs:1516067329824999
Sequence No : 0x0
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_LOGIN (0xd)
Session Handle : 0x7014006
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : admin
User Type : CN_CRYPTO_OFFICER (2)

Contoh peristiwa berikut ini mencatat petugas kripto (CO) admin keluar. Nomor urut, 0x2, menunjukkan bahwa ini adalah peristiwa ketiga dalam pengaliran log.

Jika pengguna yang login menutup sesi tanpa keluar, pengaliran log termasuk CN_APP_FINALIZE atau peristiwa tutup sesi (CN_SESSION_CLOSE), bukan peristiwa CN_LOGOUT. Berbeda dengan peristiwa login, peristiwa keluar ini biasanya dicatat hanya oleh HSM yang mengeksekusi perintah.


Time: 01/16/18 01:49:55.993404, usecs:1516067395993404
Sequence No : 0x2
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_LOGOUT (0xe)
Session Handle : 0x7014000
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : admin
User Type : CN_CRYPTO_OFFICER (2)

Jika upaya login gagal karena nama pengguna tidak valid, HSM mencatat peristiwa CN_LOGIN dengan nama pengguna dan jenis yang disediakan dalam perintah login. Tanggapan menampilkan pesan kesalahan 157, yang menjelaskan bahwa nama pengguna tidak ada.


Time: 01/24/18 17:41:39.037255, usecs:1516815699037255
Sequence No : 0x4
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_LOGIN (0xd)
Session Handle : 0xc008002
Response : 157:HSM Error: user isn't initialized or user with this name doesn't exist
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : ExampleUser
User Type : CN_CRYPTO_USER (1)

Jika upaya login gagal karena kata sandi tidak valid, HSM mencatat peristiwa CN_LOGIN dengan nama pengguna dan jenis yang disediakan dalam perintah login. Tanggapan menampilkan pesan kesalahan dengan kode kesalahan RET_USER_LOGIN_FAILURE.


Time: 01/24/18 17:44:25.013218, usecs:1516815865013218
Sequence No : 0x5
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_LOGIN (0xd)
Session Handle : 0xc008002
Response : 163:HSM Error: RET_USER_LOGIN_FAILURE
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : testuser
User Type : CN_CRYPTO_USER (1)

Contoh: Membuat dan menghapus pengguna

Contoh ini menunjukkan peristiwa log yang dicatat ketika seorang petugas kripto (CO) membuat dan menghapus pengguna.

Peristiwa pertama mencatat CO, admin, masuk ke HSM. Nomor urut 0x0 menunjukkan bahwa ini adalah peristiwa pertama dalam pengaliran log. Nama dan jenis pengguna yang masuk termasuk dalam acara tersebut.


Time: 01/16/18 01:48:49.824999, usecs:1516067329824999
Sequence No : 0x0
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_LOGIN (0xd)
Session Handle : 0x7014006
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : admin
User Type : CN_CRYPTO_OFFICER (2)

Peristiwa berikutnya dalam pengaliran log (urutan 0x1) mencatat CO yang membuat pengguna kripto baru (CU). Nama dan jenis pengguna baru disertakan dalam peristiwa tersebut.


Time: 01/16/18 01:49:39.437708, usecs:1516067379437708
Sequence No : 0x1
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_CREATE_USER (0x3)
Session Handle : 0x7014006
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : bob
User Type : CN_CRYPTO_USER (1)

Kemudian, CO membuat petugas kripto (CO) lain, alice. Nomor urut menunjukkan bahwa tindakan ini diikuti yang sebelumnya tanpa tindakan intervensi.


Time: 01/16/18 01:49:55.993404, usecs:1516067395993404
Sequence No : 0x2
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_CREATE_CO (0x4)
Session Handle : 0x7014007
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : alice
User Type : CN_CRYPTO_OFFICER (2)

Kemudian, CO bernama admin masuk dan menghapus petugas kripto (CO) bernama alice. HSM mencatat peristiwa CN_DELETE_USER. Nama dan jenis pengguna yang dihapis disertakan dalam peristiwa tersebut.


Time: 01/23/18 19:58:23.451420, usecs:1516737503451420
Sequence No : 0xb
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_DELETE_USER (0xa1)
Session Handle : 0x7014007
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : alice
User Type : CN_CRYPTO_OFFICER (2)

Contoh: Membuat dan menghapus key pair

Contoh ini menunjukkan peristiwa yang dicatat dalam log audit HSM ketika Anda membuat dan menghapus pasangan kunci.

Peristiwa berikut mencatat pengguna kripto (CU) bernama crypto_user masuk ke HSM.


Time: 12/13/17 23:09:04.648952, usecs:1513206544648952
Sequence No: 0x28
Reboot counter: 0xe8
Command Type(hex): CN_MGMT_CMD (0x0)
Opcode: CN_LOGIN (0xd)
Session Handle: 0x2014005
Response: 0:HSM Return: SUCCESS
Log type: MGMT_USER_DETAILS_LOG (2)
User Name: crypto_user
User Type: CN_CRYPTO_USER (1)

Selanjutnya, CU menghasilkan pasangan kunci (CN_GENERATE_KEY_PAIR). Kunci privat memiliki handel kunci 131079. Kunci publik memiliki handel kunci 131078.


Time: 12/13/17 23:09:04.761594, usecs:1513206544761594
Sequence No: 0x29
Reboot counter: 0xe8
Command Type(hex): CN_MGMT_CMD (0x0)
Opcode: CN_GENERATE_KEY_PAIR (0x19)
Session Handle: 0x2014004
Response: 0:HSM Return: SUCCESS
Log type: MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle: 131079
Public Key Handle: 131078

CU segera menghapus pasangan kunci. Peristiwa CN_DESTROY_OBJECT mencatat penghapusan kunci publik (131078).


Time: 12/13/17 23:09:04.813977, usecs:1513206544813977
Sequence No: 0x2a
Reboot counter: 0xe8
Command Type(hex): CN_MGMT_CMD (0x0)
Opcode: CN_DESTROY_OBJECT (0x11)
Session Handle: 0x2014004
Response: 0:HSM Return: SUCCESS
Log type: MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle: 131078
Public Key Handle: 0

Kemudian, peristiwa CN_DESTROY_OBJECT kedua mencatat penghapusan kunci privat (131079).


Time: 12/13/17 23:09:04.815530, usecs:1513206544815530
Sequence No: 0x2b
Reboot counter: 0xe8
Command Type(hex): CN_MGMT_CMD (0x0)
Opcode: CN_DESTROY_OBJECT (0x11)
Session Handle: 0x2014004
Response: 0:HSM Return: SUCCESS
Log type: MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle: 131079
Public Key Handle: 0

Terakhir, CU log out.


Time: 12/13/17 23:09:04.817222, usecs:1513206544817222
Sequence No: 0x2c
Reboot counter: 0xe8
Command Type(hex): CN_MGMT_CMD (0x0)
Opcode: CN_LOGOUT (0xe)
Session Handle: 0x2014004
Response: 0:HSM Return: SUCCESS
Log type: MGMT_USER_DETAILS_LOG (2)
User Name: crypto_user
User Type: CN_CRYPTO_USER (1)

Contoh: Menghasilkan dan menyinkronkan kunci

Contoh ini menunjukkan efek pembuatan kunci dalam sebuah klaster dengan beberapa HSM. Kuncinya dihasilkan pada satu HSM, diekstrak dari HSM sebagai objek tertutup, dan dimasukkan ke dalam HSM lain sebagai objek tertutup.

catatan

Alat klien mungkin gagal untuk menyinkronkan kunci. Atau, perintah mungkin termasuk parameter min_srv, yang menyinkronkan kunci hanya untuk jumlah HSM yang ditentukan. Dalam kedua kasus, AWS CloudHSM layanan menyinkronkan kunci ke HSM lain di cluster. Karena HSM mencatat hanya perintah manajemen sisi klien dalam log mereka, sinkronisasi sisi server tidak dicatat dalam log HSM.

Pertama, pertimbangkan pengaliran log dari HSM yang menerima dan mengeksekusi perintah. Pengaliran log dinamai ID HSM, hsm-abcde123456, tetapi ID HSM tidak muncul dalam peristiwa log.

Pertama, pengguna kripto (CU) testuser masuk ke HSM hsm-abcde123456.


Time: 01/24/18 00:39:23.172777, usecs:1516754363172777
Sequence No : 0x0
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_LOGIN (0xd)
Session Handle : 0xc008002
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : testuser
User Type : CN_CRYPTO_USER (1)

CU menjalankan exSymKeyperintah untuk menghasilkan kunci simetris. HSM hsm-abcde123456 menghasilkan kunci simetris dengan handel kunci 262152. HSM mencatat peristiwa CN_GENERATE_KEY di log-nya.


Time: 01/24/18 00:39:30.328334, usecs:1516754370328334
Sequence No : 0x1
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_GENERATE_KEY (0x17)
Session Handle : 0xc008004
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 262152
Public Key Handle : 0

Peristiwa berikutnya dalam pengaliran log untuk hsm-abcde123456 mencatat langkah pertama dalam proses sinkronisasi kunci. Kunci baru (handel kunci 262152) diekstraksi dari HSM sebagai objek tertutup.


Time: 01/24/18 00:39:30.330956, usecs:1516754370330956
Sequence No : 0x2
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_EXTRACT_MASKED_OBJECT_USER (0xf0)
Session Handle : 0xc008004
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 262152
Public Key Handle : 0

Sekarang pertimbangkan pengaliran log untuk HSM hsm-zyxwv987654, HSM lain di klaster yang sama. Pengaliran log juga mencakup peristiwa login untuk CU testuser. Nilai waktu menunjukkan hal itu terjadi tak lama setelah pengguna masuk ke HSM hsm-abcde123456.


Time: 01/24/18 00:39:23.199740, usecs:1516754363199740
Sequence No : 0xd
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_LOGIN (0xd)
Session Handle : 0x7004004
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : testuser
User Type : CN_CRYPTO_USER (1)

Pengaliran log untuk HSM ini tidak memiliki peristiwa CN_GENERATE_KEY. Namun, nilai tidak memiliki peristiwa yang mencatat sinkronisasi kunci untuk HSM ini. Peristiwa CN_INSERT_MASKED_OBJECT_USER mencatat penerimaan kunci 262152 sebagai objek tertutup. Sekarang kunci 262152 ada di kedua HSM di klaster.


Time: 01/24/18 00:39:30.408950, usecs:1516754370408950
Sequence No : 0xe
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_INSERT_MASKED_OBJECT_USER (0xf1)
Session Handle : 0x7004003
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 262152
Public Key Handle : 0

Ketika pengguna CU keluar, peristiwa CN_LOGOUT ini muncul hanya dalam pengaliran log HSM yang menerima perintah.

Contoh: Ekspor kunci

Contoh ini menunjukkan peristiwa log audit yang dicatat ketika pengguna kripto (CU) mengeksspor kunci dari klaster dengan beberapa HSM.

Peristiwa berikut mencatat CU (testuser) masuk ke key_mgmt_util.


Time: 01/24/18 19:42:22.695884, usecs:1516822942695884
Sequence No : 0x26
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_LOGIN (0xd)
Session Handle : 0x7004004
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : testuser
User Type : CN_CRYPTO_USER (1)

CU menjalankan exSymKeyperintah untuk mengekspor kunci7, kunci AES 256-bit. Perintah menggunakan kunci 6, kunci AES 256-bit HSM, sebagai kunci pembungkus.

HSM yang menerima catatan perintah CN_WRAP_KEY peristiwa untuk kunci 7, kunci yang sedang diekspor.


Time: 01/24/18 19:51:12.860123, usecs:1516823472860123
Sequence No : 0x27
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_WRAP_KEY (0x1a)
Session Handle : 0x7004003
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 7
Public Key Handle : 0

Kemudian, HSM mencatat peristiwa CN_NIST_AES_WRAP untuk kunci pembungkus, kunci 6. Kuncinya dibungkus dan kemudian segera dibuka, tapi HSM mencatat hanya satu peristiwa.


Time: 01/24/18 19:51:12.905257, usecs:1516823472905257
Sequence No : 0x28
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_NIST_AES_WRAP (0x1e)
Session Handle : 0x7004003
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 6
Public Key Handle : 0

Perintah exSymKeymenulis kunci yang diekspor ke file, tetapi tidak mengubah kunci pada HSM. Akibatnya, tidak ada peristiwa yang sesuai dalam log HSM lain di klaster.

Contoh: Impor kunci

Contoh ini menunjukkan peristiwa log audit yang direkam saat Anda mencatat kunci ke HSM di klaster. Dalam contoh ini, pengguna kripto (CU) menggunakan imSymKeyperintah untuk mengimpor kunci AES ke HSM. Perintah menggunakan kunci 6 sebagai kunci pembungkus.

HSM yang menerima perintah pertama mencatat CN_NIST_AES_WRAP peristiwa untuk 6 kunci, kunci pembungkus.


Time: 01/24/18 19:58:23.170518, usecs:1516823903170518
Sequence No : 0x29
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_NIST_AES_WRAP (0x1e)
Session Handle : 0x7004003
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 6
Public Key Handle : 0

Kemudian, HSM mencatat peristiwa CN_UNWRAP_KEY yang mewakili operasi impor. Kunci yang diimpor mendapat handel kunci dari 11.


Time: 01/24/18 19:58:23.200711, usecs:1516823903200711
Sequence No : 0x2a
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_UNWRAP_KEY (0x1b)
Session Handle : 0x7004003
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 11
Public Key Handle : 0

Ketika kunci yang baru dihasilkan atau diimpor klien, alat klien secara otomatis mencoba untuk menyinkronkan kunci baru dengan HSM lainnya di klaster. Dalam hal ini, HSM mencatat peristiwa CN_EXTRACT_MASKED_OBJECT_USER ketika kunci 11 diekstrakdisi dari HSM sebagai objek tertutup.


Time: 01/24/18 19:58:23.203350, usecs:1516823903203350
Sequence No : 0x2b
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_EXTRACT_MASKED_OBJECT_USER (0xf0)
Session Handle : 0x7004003
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 11
Public Key Handle : 0

Aliran log dari HSM lainnya di klaster mencerminkan kedatangan kunci yang baru diimpor.

Sebagai contoh, acara ini tercatat dalam pengaliran log HSM yang berbeda di klaster yang sama. Peristiwa CN_INSERT_MASKED_OBJECT_USER mencatat kedatangan objek tertutup yang mewakili kunci 11.


Time: 01/24/18 19:58:23.286793, usecs:1516823903286793
Sequence No : 0xb
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_INSERT_MASKED_OBJECT_USER (0xf1)
Session Handle : 0xc008004
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 11
Public Key Handle : 0

Contoh ini menunjukkan peristiwa log audit yang dicatat ketika pengguna kripto (CU) berbagi atau batal berbagi kunci privat ECC dengan pengguna kripto lainnya. CU menggunakan perintah shareKey dan menyediakan handel kunci, ID pengguna, dan nilai 1 untuk berbagi atau memberi nilai 0 untuk membatalkan berbagi kunci.

Pada contoh berikut, HSM yang menerima perintah, catatan CM_SHARE_OBJECT acara yang mewakili operasi berbagi.


Time: 02/08/19 19:35:39.480168, usecs:1549654539480168
Sequence No	: 0x3f
Reboot counter	: 0x38
Command Type(hex)	: CN_MGMT_CMD (0x0)
Opcode	: CN_SHARE_OBJECT (0x12)
Session Handle	: 0x3014007
Response	: 0:HSM Return: SUCCESS
Log type	: UNKNOWN_LOG_TYPE (5)

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Melihat log

Referensi log