Menggunakan CloudHSM CLI untuk menghasilkan kunci

Sebelum Anda dapat membuat kunci, Anda harus memulai CloudHSM CLI dan masuk sebagai pengguna kripto (CU). Untuk menghasilkan kunci pada HSM, gunakan perintah yang sesuai dengan jenis kunci yang ingin Anda hasilkan.

Hasilkan kunci simetris

Gunakan perintah yang tercantum dalam kunci menghasilkan-simetris untuk menghasilkan kunci simetris. Untuk melihat semua pilihan yang tersedia, gunakan perintah help key generate-symmetric.

Hasilkan sebuah kunci AES

Gunakan key generate-symmetric aes perintah untuk menghasilkan kunci AES. Untuk melihat semua pilihan yang tersedia, gunakan perintah help key generate-symmetric aes.

Contoh berikut menghasilkan kunci AES 32-byte.

aws-cloudhsm > key generate-symmetric aes \
    --label aes-example \
    --key-length-bytes 32

Pendapat

<LABEL>

Menentukan label yang ditentukan pengguna untuk kunci AES.

Wajib: Ya

<KEY-LENGTH-BYTES>

Menentukan panjang kunci dalam byte.

Nilai valid:

• 16, 24, dan 32

Wajib: Ya

<KEY_ATTRIBUTES>

Menentukan daftar spasi dipisahkan atribut kunci untuk mengatur kunci AES dihasilkan dalam bentuk KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (misalnya,) token=true

Untuk daftar atribut AWS CloudHSM kunci yang didukung, lihatAtribut kunci untuk CloudHSM CLI.

Wajib: Tidak

<SESSION>

Membuat kunci yang hanya ada di sesi saat ini. Kunci tidak dapat dipulihkan setelah sesi berakhir. Gunakan parameter ini ketika Anda memerlukan kunci hanya sebentar, seperti kunci pembungkus yang mengenkripsi, dan kemudian dengan cepat mendekripsi, kunci lain. Jangan gunakan kunci sesi untuk mengenkripsi data yang mungkin perlu Anda dekripsi setelah sesi berakhir.

Untuk mengubah kunci sesi menjadi kunci persisten (token), gunakan key set-attribute.

Secara default, ketika kunci dihasilkan, mereka adalah kunci persisten/token. Menggunakan <SESSION>perubahan ini, memastikan kunci yang dihasilkan dengan argumen ini adalah sesi/ephemural

Wajib: Tidak

Hasilkan kunci rahasia generik

Gunakan key generate-symmetric generic-secret perintah untuk menghasilkan kunci rahasia generik. Untuk melihat semua pilihan yang tersedia, gunakan perintah help key generate-symmetric generic-secret.

Contoh berikut menghasilkan kunci rahasia generik 32-byte.

aws-cloudhsm > key generate-symmetric generic-secret \
    --label generic-secret-example \
    --key-length-bytes 32

Pendapat

<LABEL>

Menentukan label yang ditentukan pengguna untuk kunci rahasia generik.

Wajib: Ya

<KEY-LENGTH-BYTES>

Menentukan panjang kunci dalam byte.

Nilai valid:

• 1 hingga 800

Wajib: Ya

<KEY_ATTRIBUTES>

Menentukan daftar spasi dipisahkan atribut kunci untuk mengatur untuk kunci rahasia generik yang dihasilkan dalam bentuk KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (misalnya,) token=true

Untuk daftar atribut AWS CloudHSM kunci yang didukung, lihatAtribut kunci untuk CloudHSM CLI.

Wajib: Tidak

<SESSION>

Membuat kunci yang hanya ada di sesi saat ini. Kunci tidak dapat dipulihkan setelah sesi berakhir. Gunakan parameter ini ketika Anda memerlukan kunci hanya sebentar, seperti kunci pembungkus yang mengenkripsi, dan kemudian dengan cepat mendekripsi, kunci lain. Jangan gunakan kunci sesi untuk mengenkripsi data yang mungkin perlu Anda dekripsi setelah sesi berakhir.

Untuk mengubah kunci sesi menjadi kunci persisten (token), gunakan key set-attribute.

Secara default, ketika kunci dihasilkan, mereka adalah kunci persisten/token. Menggunakan <SESSION>perubahan ini, memastikan kunci yang dihasilkan dengan argumen ini adalah sesi/ephemural

Wajib: Tidak

Hasilkan kunci asimetris

Gunakan perintah yang tercantum dalam kunci generate-asymmetric-pair untuk menghasilkan pasangan kunci asimetris.

Menghasilkan kunci RSA

Gunakan key generate-asymmetric-pair rsa perintah untuk menghasilkan key pair RSA. Untuk melihat semua pilihan yang tersedia, gunakan perintah help key generate-asymmetric-pair rsa.

Contoh berikut menghasilkan pasangan kunci RSA 2048-bit.

aws-cloudhsm > key generate-asymmetric-pair rsa \
    --public-exponent 65537 \
    --modulus-size-bits 2048 \
    --public-label rsa-public-example \
    --private-label rsa-private-example

Pendapat

<PUBLIC_LABEL>

Menentukan label yang ditentukan pengguna untuk kunci publik.

Wajib: Ya

<PRIVATE_LABEL>

Menentukan label yang ditentukan pengguna untuk kunci pribadi.

Wajib: Ya

<MODULUS_SIZE_BITS>

Menentukan panjang modulus dalam bit. Nilai minimum adalah 2048.

Wajib: Ya

<PUBLIC_EXPONENT>

Menentukan eksponen publik. Nilai harus angka ganjil yang lebih besar dari atau sama dengan 65537.

Wajib: Ya

<PUBLIC_KEY_ATTRIBUTES>

Menentukan daftar spasi dipisahkan atribut kunci untuk mengatur untuk kunci publik RSA dihasilkan dalam bentuk KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (misalnya,). token=true

Untuk daftar atribut AWS CloudHSM kunci yang didukung, lihatAtribut kunci untuk CloudHSM CLI.

Wajib: Tidak

<SESSION>

Membuat kunci yang hanya ada di sesi saat ini. Kunci tidak dapat dipulihkan setelah sesi berakhir. Gunakan parameter ini ketika Anda memerlukan kunci hanya sebentar, seperti kunci pembungkus yang mengenkripsi, dan kemudian dengan cepat mendekripsi, kunci lain. Jangan gunakan kunci sesi untuk mengenkripsi data yang mungkin perlu Anda dekripsi setelah sesi berakhir.

Untuk mengubah kunci sesi menjadi kunci persisten (token), gunakan key set-attribute.

Secara default, ketika kunci dihasilkan, mereka adalah kunci persisten/token. Menggunakan <SESSION>perubahan ini, memastikan kunci yang dihasilkan dengan argumen ini adalah sesi/ephemural

Wajib: Tidak

Hasilkan pasangan kunci EC (kriptografi kurva elips)

Gunakan key generate-asymmetric-pair ec perintah untuk menghasilkan EC key pair. Untuk melihat semua opsi yang tersedia, termasuk daftar kurva elips yang didukung, gunakan perintah. help key generate-asymmetric-pair ec

Contoh berikut menghasilkan key pair EC menggunakan kurva eliptik Secp384R1.

aws-cloudhsm > key generate-asymmetric-pair ec \
    --curve secp384r1 \
    --public-label ec-public-example \
    --private-label ec-private-example

Pendapat

<PUBLIC_LABEL>

Menentukan label yang ditentukan pengguna untuk kunci publik. Ukuran maksimum yang diizinkan label adalah 127 karakter untuk Client SDK 5.11 dan setelahnya. Klien SDK 5.10 dan sebelumnya memiliki batas 126 karakter.

Wajib: Ya

<PRIVATE_LABEL>

Menentukan label yang ditentukan pengguna untuk kunci pribadi. Ukuran maksimum yang diizinkan label adalah 127 karakter untuk Client SDK 5.11 dan setelahnya. Klien SDK 5.10 dan sebelumnya memiliki batas 126 karakter.

Wajib: Ya

<CURVE>

Menentukan pengenal untuk kurva elips.

Nilai valid:

• primer256v1

• secp256r1

• secp224r1

• secp384r1

• secp256k1

• secp521r1

Wajib: Ya

<PUBLIC_KEY_ATTRIBUTES>

Menentukan daftar atribut kunci yang dipisahkan spasi untuk ditetapkan untuk kunci publik EC yang dihasilkan dalam bentuk KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (misalnya,). token=true

Untuk daftar atribut AWS CloudHSM kunci yang didukung, lihatAtribut kunci untuk CloudHSM CLI.

Wajib: Tidak

<PRIVATE_KEY_ATTRIBUTES>

Menentukan daftar atribut kunci yang dipisahkan spasi untuk mengatur kunci pribadi EC yang dihasilkan dalam bentuk KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (misalnya,). token=true

Untuk daftar atribut AWS CloudHSM kunci yang didukung, lihatAtribut kunci untuk CloudHSM CLI.

Wajib: Tidak

<SESSION>

Membuat kunci yang hanya ada di sesi saat ini. Kunci tidak dapat dipulihkan setelah sesi berakhir. Gunakan parameter ini ketika Anda memerlukan kunci hanya sebentar, seperti kunci pembungkus yang mengenkripsi, dan kemudian dengan cepat mendekripsi, kunci lain. Jangan gunakan kunci sesi untuk mengenkripsi data yang mungkin perlu Anda dekripsi setelah sesi berakhir.

Untuk mengubah kunci sesi menjadi kunci persisten (token), gunakan key set-attribute.

Secara default, kunci yang dihasilkan adalah kunci persisten (token). Melewati <SESSION>perubahan ini, memastikan kunci yang dihasilkan dengan argumen ini adalah kunci sesi (singkat).

Wajib: Tidak

Topik terkait

• Atribut kunci untuk CloudHSM CLI

• kunci generate-asymmetric-pair

• kunci menghasilkan-simetris