Attributi supportati Ulteriori dettagli Argomenti correlati

Attributi chiavi per la CLI di CloudHSM

Questo argomento descrive come utilizzare la CLI CloudHSM per impostare gli attributi di una chiave. L'attributo di una chiave nella CLI di CloudHSM può definire la tipologia di una chiave, come può funzionare una chiave o come viene etichettata una chiave. Alcuni attributi definiscono caratteristiche uniche (ad esempio il tipo di chiave). Altri attributi possono essere impostati su vero o falso: la loro modifica attiva o disattiva una funzionalità della chiave.

Per esempi che mostrano come utilizzare gli attributi delle chiavi, vedi i comandi elencati sotto il comando principale Chiave.

Attributi supportati

Come best practice, imposta i valori solo per gli attributi che desideri rendere restrittivi. Se non specifichi un valore, CloudHSM utilizza il valore predefinito specificato nella tabella sottostante.

La tabella seguente elenca gli attributi delle chiavi, i valori possibili, i valori predefiniti e le note correlate. Una cella vuota nella colonna Valore indica che non vi è alcun valore predefinito specifico assegnato all'attributo.

Attributo della CLI del CloudHSM	Valore	Modificabile con set chiavi-attributo	Da impostare al momento della creazione della chiave
`always-sensitive`	Il valore è `True` se `sensitive` è sempre stato impostato su `True` e non è mai stato cambiato.	No	No
`check-value`	Valore di controllo della chiave. Per ulteriori informazioni, vedi Ulteriori dettagli.	No	No
`class`	Valori possibili: `secret-key`, `public-key` e `private-key`.	No	Sì
`curve`	Curva ellittica usata per generare la coppia di chiavi EC. Valori validi: `secp224r1`, `secp256r1`, `prime256v1`, `secp384r1`, `secp256k1`, and `secp521r1`	No	Da impostare con RSA, non può essere impostato con EC
`decrypt`	Impostazione predefinita: `False`	Sì	Sì
`derive`	Impostazione predefinita: `False`	Sì	Sì
`destroyable`	Impostazione predefinita: `True`	Sì	Sì
`ec-point`	Per le chiavi EC, codifica DER del valore ANSI X9.62 ECPoint "Q" in formato esadecimale. Per altri tipi di chiavi, questo attributo non esiste.	No	No
`encrypt`	Impostazione predefinita: `False`	Sì	Sì
`extractable`	Impostazione predefinita: `True`	No	Sì
`id`	Impostazione predefinita: Vuoto	No	Sì
`key-length-bytes`	Necessario per generare una chiave AES. Valori validi: `1624`, e `32` byte.	No	No
`key-type`	Valori possibili: `aes`, `rsa` e `ec`	No	Sì
`label`	Impostazione predefinita: Vuoto	Sì	Sì
`local`	Impostazione predefinita: `True` per le chiavi generate nell'HSM, `False` per le chiavi importate nell'HSM.	No	No
`modifiable`	Impostazione predefinita: `True`	No	No
`modulus`	Il modulo utilizzato per creare una coppia di chiavi RSA. Per altri tipi di chiavi, questo attributo non esiste.	No	No
`modulus-size-bits`	Necessario per generare una coppia di chiavi RSA. Il valore minimo è `2048`.	No	Da impostare con RSA, non può essere impostato con EC
`never-extractable`	Il valore è `True` se la modalità Estraibile non è mai stata impostata su `False`. Il valore è `False` se la modalità Estraibile è mai stata impostata su. `True`	No	No
`private`	Impostazione predefinita: `True`	No	Sì
`public-exponent`	Necessario per generare una coppia di chiavi RSA. Valore valido: Il valore deve essere un numero dispari maggiore o uguale a `65537`.	No	Da impostare con RSA, non può essere impostato con EC
`sensitive`	Impostazione predefinita: Il valore è `True` per le chiavi AES e le chiavi EC e RSA private. Il valore è `False` per le chiavi EC e RSA pubbliche.	No	Si può impostare su chiavi private, non può essere impostato su chiavi pubbliche.
`sign`	Impostazione predefinita Il valore è `True` per le chiavi AES. Il valore è `False` per le chiavi RSA ed EC.	Sì	Sì
`token`	Impostazione predefinita: `False`	No	Sì
`trusted`	Impostazione predefinita: `False`	Sì	No
`unwrap`	Impostazione predefinita: `False`	Sì	Sì
`unwrap-template`	I valori devono utilizzare il modello di attributo applicato a qualsiasi chiave di cui è stato annullato il wrapping utilizzando questa chiave di wrapping.	Sì	No
`verify`	Impostazione predefinita: Il valore è `True` per le chiavi AES. Il valore è `False` per le chiavi RSA ed EC.	Sì	Sì
`wrap`	Impostazione predefinita: `False`	Sì	Sì
`wrap-template`	I valori devono utilizzare il modello di attributo per abbinare la chiave sottoposta a wrapping usando questa chiave di wrapping.	Sì	No
`wrap-with-trusted`	Impostazione predefinita: `False`	Sì	Sì

Ulteriori dettagli

Valore di controllo

Il valore di controllo è un hash o checksum a 3 byte di una chiave che viene generato quando l'HSM importa o genera una chiave. È possibile anche calcolare un valore di controllo al di fuori dell'HSM, ad esempio dopo aver esportato una chiave. È quindi possibile confrontare i valori del valore di controllo per confermare l'identità e l'integrità della chiave. Per ottenere il valore di controllo di una chiave, usa l'elenco delle chiavi con il flag output dettagliato.

L'AWS CloudHSM utilizza i seguenti metodi standard per generare un valore di controllo:

Chiavi simmetriche: primi 3 byte del risultato della crittografia a blocchi zero con la chiave.
Coppie di chiavi asimmetriche: primi 3 byte dell'hash SHA-1 della chiave pubblica.
Chiavi HMAC: KCV per le chiavi HMAC non è attualmente supportato.

Argomenti correlati

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Modalità di comando interattive e a comando singolo

Migrazione da CMU e KMU alla CLI di CloudhSM