Menggunakan otentikasi kuorum untuk petugas kripto: pengaturan pertama kali - AWS CloudHSM
PrasyaratBuat dan daftarkan kunci untuk penandatangananTetapkan nilai minimum kuorum pada HSM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan otentikasi kuorum untuk petugas kripto: pengaturan pertama kali

Topik berikut menjelaskan langkah-langkah yang harus Anda selesaikan untuk mengatur konfigurasi modul keamanan perangkat keras (HSM), sehingga petugas kripto (CO)dapat menggunakan autentikasi kuorum. Anda perlu melakukan langkah-langkah ini hanya sekali ketika Anda pertama kali mengatur konfigurasi autentikasi kuorum untuk CO. Setelah Anda menyelesaikan langkah ini, lihat Menggunakan otentikasi kuorum untuk petugas kripto.

Prasyarat

Untuk memahami contoh ini, Anda harus familier dengan cloudhsm_mgmt_util alat baris perintah (CMU). Dalam contoh ini, klaster AWS CloudHSM memiliki dua HSM, masing-masing dengan CO yang sama, seperti yang ditunjukkan dalam output berikut dari perintah listUsers. Untuk informasi selengkapnya tentang membuat pengguna, lihat Mengelola pengguna HSM.

aws-cloudhsm>listUsers
Users on server 0(10.0.2.14):
Number of users found:7

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                 NO               0               NO
         4              CO              officer2                                 NO               0               NO
         5              CO              officer3                                 NO               0               NO
         6              CO              officer4                                 NO               0               NO
         7              CO              officer5                                 NO               0               NO
Users on server 1(10.0.1.4):
Number of users found:7

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                 NO               0               NO
         4              CO              officer2                                 NO               0               NO
         5              CO              officer3                                 NO               0               NO
         6              CO              officer4                                 NO               0               NO
         7              CO              officer5                                 NO               0               NO

Buat dan daftarkan kunci untuk penandatanganan

Untuk menggunakan autentikasi kuorum, setiap CO harus melakukan semualangkah berikut:

Buat pasangan kunci RSA

Ada banyak cara berbeda untuk membuat dan melindungi pasangan kunci. Contoh berikut menunjukkan cara melakukannya dengan OpenSSL.

contoh — Membuat kunci privat dengan OpenSSL

Contoh berikut menunjukkan bagaimana menggunakan OpenSSL untuk membuat kunci RSA 2048-bit yang dilindungi oleh frase sandi. Untuk menggunakan contoh ini, ganti officer1.key dengan nama file tempat Anda ingin menyimpan kunci.

$ openssl genrsa -out officer1.key -aes256 2048
Generating RSA private key, 2048 bit long modulus
.....................................+++
.+++
e is 65537 (0x10001)
Enter pass phrase for officer1.key:
Verifying - Enter pass phrase for officer1.key:

Berikutnya, hasilkan kunci publik menggunakan kunci privat yang baru saja Anda buat.

contoh — Membuat kunci privat dengan OpenSSL

Contoh berikut menunjukkan bagaimana menggunakan OpenSSL untuk membuat kunci publik dari kunci privat yang baru saja Anda buat. 

$ openssl rsa -in officer1.key -outform PEM -pubout -out officer1.pub
Enter pass phrase for officer1.key:
writing RSA key

Membuat dan menandatangani token pendaftaran

Anda membuat token dan menandatanganinya dengan kunci privat yang baru saja Anda hasilkan pada langkah sebelumnya.

contoh — Buat token

Token pendaftaran hanyalah sebuah file dengan data acak yang tidak melebihi ukuran maksimum 245 byte. Anda menandatangani token dengan kunci privat untuk menunjukkan bahwa Anda memiliki akses ke kunci privat. Perintah berikut menggunakan echo untuk mengalihkan string ke file.

$ echo "token to be signed" > officer1.token

Tanda tangani token dan simpan ke file tanda tangan. Anda akan membutuhkan token ditandatangani, token belum ditandatangani, dan kunci publik untuk mendaftarkan CO sebagai pengguna MofN dengan HSM.

contoh — Tandatangani token

Gunakan OpenSSL dan kunci privat untuk menandatangani token pendaftaran dan membuat file tanda tangan.

$ openssl dgst -sha256 \
    -sign officer1.key \
    -out officer1.token.sig officer1.token

Daftarkan kunci publik dengan HSM

Setelah membuat kunci, CO harus mendaftarkan bagian publik dari kunci (kunci publik) dengan HSM.

Untuk mendaftarkan kunci publik dengan HSM

  1. Gunakan perintah berikut untuk memulai alat baris perintah cloudhsm_mgmt_util.

    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg

  2. Gunakan perintah loginHSM untuk masuk ke HSM sebagai pengguna CO. Untuk informasi selengkapnya, lihat Mengelola pengguna HSM dengan Utilitas Manajemen CloudHSM (CMU).

  3. Gunakan perintah registerQuorumPubKey untuk mendaftarkan kunci publik. Untuk informasi selengkapnya, lihat contoh berikut atau gunakan perintah help registerQuorumPubKey.

contoh — Daftarkan kunci publik dengan HSM

Contoh berikut menunjukkan cara menggunakan perintah registerQuorumPubKey di alat baris perintah cloudhsm_mgmt_util untuk mendaftar kunci publik CO dengan HSM. Untuk menggunakan perintah ini, CO harus login ke HSM. Ganti nilai-nilai ini dengan nilai Anda sendiri:

aws-cloudhsm> registerQuorumPubKey CO <officer1> <officer1.token> <officer1.token.sig> <officer1.pub>

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
registerQuorumPubKey success on server 0(10.0.2.14)
<officer1.token>

Jalur ke file yang berisi token pendaftaran belum ditandatangani. Dapat memiliki data acak ukuran file max 245 byte.

Wajib: Ya

<officer1.token.sig>

Jalur ke file yang berisi mekanisme SHA256_PKCS ditandatangani hash token pendaftaran.

Wajib: Ya

<officer1.pub>

Jalur ke file yang berisi kunci publik dari pasangan kunci RSA-2048 asimetris. Gunakan kunci privat untuk menandatangani token pendaftaran.

Wajib: Ya

Setelah semua CO mendaftarkan kunci publik mereka, output dari perintah listUsers menunjukkan ini di kolom MofnPubKey, seperti yang ditunjukkan dalam contoh berikut.

aws-cloudhsm>listUsers
Users on server 0(10.0.2.14):
Number of users found:7

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                YES               0               NO
         4              CO              officer2                                YES               0               NO
         5              CO              officer3                                YES               0               NO
         6              CO              officer4                                YES               0               NO
         7              CO              officer5                                YES               0               NO
Users on server 1(10.0.1.4):
Number of users found:7

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                YES               0               NO
         4              CO              officer2                                YES               0               NO
         5              CO              officer3                                YES               0               NO
         6              CO              officer4                                YES               0               NO
         7              CO              officer5                                YES               0               NO

Tetapkan nilai minimum kuorum pada HSM

Untuk menggunakan autentikasi kuorum untuk CO, CO harus log in ke HSM dan kemudian mengatur nilai minimum kuorum, juga dikenal sebagai nilai m. Ini adalah jumlah minimum persetujuan CO yang diperlukan untuk melakukan operasi manajemen pengguna HSM. Setiap CO pada HSM dapat mengatur nilai minimum kuorum, termasuk CO yang belum mendaftarkan kunci untuk ditandatangani. Anda dapat mengubah nilai minimum kuorum kapan saja; untuk informasi lebih lanjut, lihatUbah Nilai Minimum.

Untuk menetapkan nilai minimum kuorum pada HSM

  1. Gunakan perintah berikut untuk memulai alat baris perintah cloudhsm_mgmt_util.

    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg

  2. Gunakan perintah loginHSM untuk masuk ke HSM sebagai pengguna CO. Untuk informasi selengkapnya, lihat Mengelola pengguna HSM dengan Utilitas Manajemen CloudHSM (CMU).

  3. Gunakan perintah setMValue untuk menetapkan nilai minimum kuorum. Untuk informasi selengkapnya, lihat contoh berikut atau gunakan perintah help setMValue.

contoh — Tetapkan nilai minimum kuorum pada HSM

Contoh ini menggunakan nilai minimum kuorum dua. Anda dapat memilih nilai apa pun dari dua (2) hingga delapan (8), hingga jumlah total CO pada HSM. Dalam contoh ini, HSM memiliki enam CO, sehingga nilai maksimum yang mungkin adalah enam.

Untuk menggunakan perintah contoh berikut, ganti nomor akhir (2) dengan nilai minimum kuorum pilihan.

aws-cloudhsm>setMValue 3 2
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
Setting M Value(2) for 3 on 2 nodes

Dalam contoh sebelumnya, nomor pertama (3) mengidentifikasi layanan HSM yang nilai minimum kuorumnya Anda tetapkan.

Tabel berikut mencantumkan pengenal layanan HSM bersama dengan nama, deskripsi, dan perintah yang disertakan dalam layanan.

Pengenal Layanan Nama Layanan Deskripsi Layanan Perintah HSM
3 USER_MGMT Manajemen pengguna HSM

  • createUser

  • deleteUser

  • changePswd (hanya berlaku saat mengganti kata sandi pengguna HSM yang berbeda)
4 MISC_CO Layanan CO lainnya

  • setMValue

Untuk mendapatkan nilai minimum kuorum untuk layanan, gunakan perintah getMValue, seperti dalam contoh berikut.

aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]

Output dari perintah getMValue sebelumnya menunjukkan bahwa nilai minimum kuorum untuk operasi manajemen pengguna HSM (layanan 3) sekarang dua.

Setelah Anda menyelesaikan langkah ini, lihat Menggunakan otentikasi kuorum untuk petugas kripto.