Menghasilkan fungsi key dan key pair Fungsi cipher Tanda tangani dan verifikasi fungsi Fungsi mencerna Fungsi kode otentikasi pesan berbasis hash () HMAC Fungsi kode otentikasi pesan berbasis sandi () CMAC Konversi kunci ke spesifikasi utama menggunakan pabrik-pabrik utama Anotasi mekanisme

Mekanisme yang didukung untuk JCE penyedia untuk AWS CloudHSM Klien SDK 3

Topik ini memberikan informasi tentang mekanisme yang didukung untuk JCE penyedia dengan AWS CloudHSM Klien SDK 5. Untuk informasi tentang antarmuka Java Cryptography Architecture (JCA) dan kelas mesin yang didukung oleh AWS CloudHSM, lihat topik berikut.

Topik

Menghasilkan fungsi key dan key pair
Fungsi cipher
Tanda tangani dan verifikasi fungsi
Fungsi mencerna
Fungsi kode otentikasi pesan berbasis hash () HMAC
Fungsi kode otentikasi pesan berbasis sandi () CMAC
Konversi kunci ke spesifikasi utama menggunakan pabrik-pabrik utama
Anotasi mekanisme

Menghasilkan fungsi key dan key pair

Pustaka AWS CloudHSM perangkat lunak untuk Java memungkinkan Anda untuk menggunakan operasi berikut untuk menghasilkan fungsi key dan key pair.

RSA
EC
AES
DESede (Triple DES)^{lihat catatan 1}
GenericSecret

Fungsi cipher

Pustaka AWS CloudHSM perangkat lunak untuk Java mendukung kombinasi algoritma, mode, dan padding berikut.

Algoritme	Mode	Bantalan	Catatan
AES	CBC	`AES/CBC/NoPadding` `AES/CBC/PKCS5Padding`	Menerapkan `Cipher.ENCRYPT_MODE` dan `Cipher.DECRYPT_MODE`. Menerapkan `Cipher.UNWRAP_MODE for AES/CBC NoPadding`
AES	ECB	`AES/ECB/PKCS5Padding` `AES/ECB/NoPadding`	Menerapkan `Cipher.ENCRYPT_MODE` dan `Cipher.DECRYPT_MODE`.
AES	CTR	`AES/CTR/NoPadding`	Menerapkan `Cipher.ENCRYPT_MODE` dan `Cipher.DECRYPT_MODE`.
AES	GCM	`AES/GCM/NoPadding`	Menerapkan `Cipher.WRAP_MODE`, `Cipher.UNWRAP_MODE`, `Cipher.ENCRYPT_MODE`, dan `Cipher.DECRYPT_MODE`. Saat melakukan AES - GCM enkripsi, HSM mengabaikan vektor inisialisasi (IV) dalam permintaan dan menggunakan IV yang dihasilkannya. Saat operasi selesai, Anda harus memanggil `Cipher.getIV()` untuk mendapatkan IV.
AESWrap	ECB	`AESWrap/ECB/NoPadding` `AESWrap/ECB/PKCS5Padding` `AESWrap/ECB/ZeroPadding`	Menerapkan `Cipher.WRAP_MODE` dan `Cipher.UNWRAP_MODE`.
DESede(Tiga kali lipatDES)	CBC	`DESede/CBC/PKCS5Padding` `DESede/CBC/NoPadding`	Menerapkan `Cipher.ENCRYPT_MODE` dan `Cipher.DECRYPT_MODE`. Lihat catatan 1 di bawah untuk perubahan yang akan datang.
DESede(Tiga kali lipatDES)	ECB	`DESede/ECB/NoPadding` `DESede/ECB/PKCS5Padding`	Menerapkan `Cipher.ENCRYPT_MODE` dan `Cipher.DECRYPT_MODE`. Lihat catatan 1 di bawah untuk perubahan yang akan datang.
RSA	ECB	`RSA/ECB/PKCS1Padding`^{lihat catatan 1} `RSA/ECB/OAEPPadding` `RSA/ECB/OAEPWithSHA-1ANDMGF1Padding` `RSA/ECB/OAEPWithSHA-224ANDMGF1Padding` `RSA/ECB/OAEPWithSHA-256ANDMGF1Padding` `RSA/ECB/OAEPWithSHA-384ANDMGF1Padding` `RSA/ECB/OAEPWithSHA-512ANDMGF1Padding`	Menerapkan `Cipher.WRAP_MODE`, `Cipher.UNWRAP_MODE`, `Cipher.ENCRYPT_MODE`, dan `Cipher.DECRYPT_MODE`.
RSA	ECB	`RSA/ECB/NoPadding`	Menerapkan `Cipher.ENCRYPT_MODE` dan `Cipher.DECRYPT_MODE`.
RSAAESWrap	ECB	`RSAAESWrap/ECB/OAEPPadding` `RSAAESWrap/ECB/OAEPWithSHA-1ANDMGF1Padding` `RSAAESWrap/ECB/OAEPWithSHA-224ANDMGF1Padding` `RSAAESWrap/ECB/OAEPWithSHA-256ANDMGF1Padding` `RSAAESWrap/ECB/OAEPWithSHA-384ANDMGF1Padding` `RSAAESWrap/ECB/OAEPWithSHA-512ANDMGF1Padding`	Menerapkan `Cipher.WRAP_MODE` dan `Cipher.UNWRAP_MODE`.

Tanda tangani dan verifikasi fungsi

Pustaka AWS CloudHSM perangkat lunak untuk Java mendukung jenis tanda tangan dan verifikasi berikut. Dengan Client SDK 5 dan algoritma tanda tangan dengan hashing, data di-hash secara lokal dalam perangkat lunak sebelum dikirim ke untuk tanda tangan/verifikasi. HSM Ini berarti tidak ada batasan pada ukuran data yang dapat di-hash oleh. SDK

RSAJenis Tanda Tangan

NONEwithRSA
RSASSA-PSS
SHA1withRSA
SHA1withRSA/PSS
SHA1withRSAandMGF1
SHA224withRSA
SHA224withRSAandMGF1
SHA224withRSA/PSS
SHA256withRSA
SHA256withRSAandMGF1
SHA256withRSA/PSS
SHA384withRSA
SHA384withRSAandMGF1
SHA384withRSA/PSS
SHA512withRSA
SHA512withRSAandMGF1
SHA512withRSA/PSS

ECDSAJenis Tanda Tangan

NONEwithECDSA
SHA1withECDSA
SHA224withECDSA
SHA256withECDSA
SHA384withECDSA
SHA512withECDSA

Fungsi mencerna

Pustaka AWS CloudHSM perangkat lunak untuk Java mendukung intisari pesan berikut. Dengan Klien SDK 5, data di-hash secara lokal dalam perangkat lunak. Ini berarti tidak ada batasan pada ukuran data yang dapat di-hash oleh. SDK

SHA-1
SHA-224
SHA-256
SHA-384
SHA-512

Fungsi kode otentikasi pesan berbasis hash () HMAC

Pustaka AWS CloudHSM perangkat lunak untuk Java mendukung HMAC algoritma berikut.

HmacSHA1(Ukuran data maksimum dalam byte: 16288)
HmacSHA224(Ukuran data maksimum dalam byte: 16256)
HmacSHA256(Ukuran data maksimum dalam byte: 16288)
HmacSHA384(Ukuran data maksimum dalam byte: 16224)
HmacSHA512(Ukuran data maksimum dalam byte: 16224)

Fungsi kode otentikasi pesan berbasis sandi () CMAC

CMACs(Kode otentikasi pesan berbasis sandi) buat kode otentikasi pesan (MACs) menggunakan sandi blok dan kunci rahasia. Mereka berbeda dari HMACs dalam bahwa mereka menggunakan metode kunci simetris blok untuk MACs bukan metode hashing.

Pustaka AWS CloudHSM perangkat lunak untuk Java mendukung CMAC algoritma berikut.

AESCMAC

Konversi kunci ke spesifikasi utama menggunakan pabrik-pabrik utama

Anda dapat menggunakan pabrik-pabrik utama untuk mengonversi kunci ke spesifikasi utama. AWS CloudHSM memiliki dua jenis pabrik utama untukJCE:

SecretKeyFactory: Digunakan untuk mengimpor atau menurunkan kunci simetris. Dengan menggunakan SecretKeyFactory, Anda dapat meneruskan Kunci yang didukung atau didukung KeySpec untuk mengimpor atau menurunkan kunci simetris ke dalam. AWS CloudHSM Berikut ini adalah spesifikasi yang didukung untuk KeyFactory:

generateSecretMetode untuk SecretKeyFactory KeySpeckelas berikut didukung:
- KeyAttributesMapdapat digunakan untuk mengimpor byte kunci dengan atribut tambahan sebagai Cloud HSM Key. Contohnya dapat ditemukan di sini di sini.
- SecretKeySpecdapat digunakan untuk mengimpor spesifikasi kunci simetris sebagai Cloud HSM Key.
- AesCmacKdfParameterSpecdapat digunakan untuk menurunkan kunci simetris menggunakan Cloud HSM AES Key lain.

catatan

SecretKeyFactorytranslateKeyMetode ini mengambil kunci apa pun yang mengimplementasikan antarmuka kunci.

KeyFactory: Digunakan untuk mengimpor kunci asimetris. Dengan menggunakan KeyFactory, Anda dapat meneruskan Kunci yang didukung atau didukung KeySpec untuk mengimpor kunci asimetris ke dalam AWS CloudHSM. Untuk informasi lebih lanjut, lihat sumber daya berikut:

generatePublicMetode KeyFactory For, KeySpeckelas berikut didukung:
Cloud HSM KeyAttributesMap untuk keduanya RSA dan EC KeyTypes, termasuk:
- Cloud HSM KeyAttributesMap untuk keduanya RSA dan publik EC KeyTypes. Contoh dapat ditemukan di sini
- X509 EncodedKeySpec untuk keduanya RSA dan EC Public Key
- RSAPublicKeySpecuntuk RSA Public Key
- ECPublicKeySpecuntuk Kunci Publik EC
generatePrivateMetode KeyFactory For, KeySpeckelas berikut didukung:
Cloud HSM KeyAttributesMap untuk keduanya RSA dan EC KeyTypes, termasuk:
- Cloud HSM KeyAttributesMap untuk keduanya RSA dan publik EC KeyTypes. Contoh dapat ditemukan di sini
- PKCS8EncodedKeySpecuntuk EC dan RSA Private Key
- RSAPrivateCrtKeySpecuntuk RSA Private Key
- ECPrivateKeySpecuntuk Kunci Pribadi EC

translateKeyMetode KeyFactory For, dibutuhkan setiap Key yang mengimplementasikan Key Interface.

Anotasi mekanisme

[1] Sesuai dengan NIST panduan, ini tidak diizinkan untuk cluster dalam FIPS mode setelah 2023. Untuk cluster dalam FIPS mode non-mode, masih diperbolehkan setelah 2023. Lihat FIPS140 Kepatuhan: Penutupan Mekanisme 2024 untuk rincian selengkapnya.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Dasar-dasar manajemen utama

Atribut kunci