Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Attributi chiave supportati (Client SDK 3)
Un oggetto può essere una chiave pubblica, privata o una chiave segreta. Le azioni consentite su un oggetto chiave sono specificate tramite gli attributi. Gli attributi sono definiti quando l'oggetto chiave viene creato. Quando utilizzi la libreria PKCS #11, assegniamo i valori predefiniti come specificato dallo standard PKCS #11.
AWS CloudHSM non supporta tutti gli attributi elencati nella specifica PKCS #11. Siamo conformi alla specifica per tutti gli attributi supportati. Questi attributi sono elencati nelle rispettive tabelle.
Le funzioni di crittografia, ad esempio C_CreateObject
, C_GenerateKey
, C_GenerateKeyPair
, C_UnwrapKey
, e C_DeriveKey
che creano, modificano o copiano gli oggetti utilizzano un modello di attributo come uno dei loro parametri. Per ulteriori informazioni sul trasferimento di un modello di attributo durante la creazione di un oggetto, consulta l'esempio su come generare chiavi attraverso la libreria PKCS #11
Interpretazione della tabella degli attributi relativi alla libreria PKCS #11
La tabella della libreria PKCS #11 contiene un elenco di attributi che differiscono per i tipi di chiave. Indica se un determinato attributo è supportato da un particolare tipo di chiave quando si usa una determinata funzione di crittografia con AWS CloudHSM.
Legenda:
-
✔ indica che CloudHSM supporta l'attributo per il tipo di chiave specifico.
-
✖ indica che CloudHSM non supporta l'attributo per il tipo di chiave specifico.
-
R indica che il valore dell'attributo è di sola lettura per il tipo di chiave specifico.
-
S indica che l'attributo non può essere letto da
GetAttributeValue
poiché è sensibile. -
Una cella vuota nella colonna Valore predefinito indica che non vi è alcun valore predefinito specifico assegnato all'attributo.
Attributo |
Tipo di chiavi |
Valore predefinito |
|||
---|---|---|---|---|---|
|
EC privato |
EC pubblico |
RSA privato |
RSA pubblico |
|
|
✔ |
✔ |
✔ |
✔ |
|
|
✔ |
✔ |
✔ |
✔ |
|
|
✔ |
✔ |
✔ |
✔ |
|
|
✔ |
✔ |
✔ |
✔ |
|
|
R |
R |
R |
R |
True |
|
✔ |
✔ |
✔ |
✔ |
False |
|
✔1 |
✔1 |
✔1 |
✔1 |
True |
|
✖ |
✔ |
✖ |
✔ |
False |
|
✔ |
✖ |
✔ |
✖ |
False |
|
✔ |
✔ |
✔ |
✔ |
False |
|
✔1 |
✔1 |
✔1 |
✔1 |
True |
|
✔ |
✔ |
✔ |
✔ |
True |
|
✔ |
✖ |
✔ |
✖ |
False |
|
✖ |
✖ |
✔3 |
✖ |
|
|
✖ |
✔ |
✖ |
✔ |
False |
|
✖ |
✖ |
✖ |
✔4 |
|
|
✖ |
✔ |
✖ |
✔ |
False |
|
✖ |
✔ |
✖ |
✔ |
|
|
✖ |
✔ |
✖ |
✔ |
False |
|
✔ |
✖ |
✔ |
✖ |
False |
|
✔ |
✖ |
✔ |
✖ |
False |
|
✔ |
✖ |
✔ |
✖ |
|
|
✔ |
✖ |
✔ |
✖ |
True |
|
R |
✖ |
R |
✖ |
|
|
✔ |
✖ |
✔ |
✖ |
True |
|
R |
✖ |
R |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✔2 |
|
|
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✔2 |
|
|
✖ |
✔2 |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
|
|
R |
R |
R |
R |
|
Attributo |
Tipo di chiavi |
Valore predefinito |
||
---|---|---|---|---|
|
AES |
DES3 |
Segreto generico |
|
|
✔ |
✔ |
✔ |
|
|
✔ |
✔ |
✔ |
|
|
✔ |
✔ |
✔ |
|
|
✔ |
✔ |
✔ |
|
|
R |
R |
R |
True |
|
✔ |
✔ |
✔ |
False |
|
✔1 |
✔1 |
✔1 |
True |
|
✔ |
✔ |
✖ |
False |
|
✔ |
✔ |
✖ |
False |
|
✔ |
✔ |
✔ |
False |
|
✔1 |
✔1 |
✔1 |
True |
|
✔ |
✔ |
✔ |
True |
|
✔ |
✔ |
✔ |
True |
|
✖ |
✖ |
✖ |
|
|
✔ |
✔ |
✔ |
True |
|
✖ |
✖ |
✖ |
|
|
✔ |
✔ |
✖ |
False |
|
✔ |
✔ |
✖ |
|
|
✔ |
✔ |
✖ |
False |
|
✔ |
✔ |
✔ |
False |
|
✔ |
✔ |
✖ |
False |
|
✔ |
✔ |
✖ |
|
|
✔ |
✔ |
✔ |
True |
|
✖ |
✖ |
✖ |
|
|
✔ |
✔ |
✔ |
True |
|
R |
R |
R |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✔2 |
✖ |
✔2 |
|
|
R |
R |
R |
|
Attributo |
Tipo di chiavi |
Valore predefinito |
||||||
---|---|---|---|---|---|---|---|---|
|
EC privato |
EC pubblico |
RSA privato |
RSA pubblico |
AES |
DES3 |
Segreto generico |
|
|
✔2 |
✔2 |
✔2 |
✔2 |
✔2 |
✔2 |
✔2 |
|
|
✔2 |
✔2 |
✔2 |
✔2 |
✔2 |
✔2 |
✔2 |
|
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
|
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
|
|
R |
R |
R |
R |
R |
R |
R |
False |
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
False |
|
✔1 |
✔1 |
✔1 |
✔1 |
✔1 |
✔1 |
✔1 |
True |
|
✖ |
✖ |
✖ |
✔ |
✔ |
✔ |
✖ |
False |
|
✖ |
✖ |
✔ |
✖ |
✔ |
✔ |
✖ |
False |
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
False |
|
✔1 |
✔1 |
✔1 |
✔1 |
✔1 |
✔1 |
✔1 |
True |
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
True |
|
✔ |
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
False |
|
✖ |
✖ |
✔3 |
✖ |
✖ |
✖ |
✖ |
False |
|
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
✔ |
False |
|
✖ |
✖ |
✖ |
✔4 |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✔ |
✔ |
✔ |
✖ |
False |
|
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
✖ |
|
|
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
✖ |
False |
|
✔ |
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
False |
|
✖ |
✖ |
✔ |
✖ |
✔ |
✔ |
✖ |
False |
|
✔ |
✖ |
✔ |
✖ |
✔ |
✔ |
✖ |
|
|
✔ |
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
True |
|
R |
✖ |
R |
✖ |
R |
R |
R |
|
|
✔ |
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
True |
|
R |
✖ |
R |
✖ |
R |
R |
R |
|
|
✖ |
✖ |
✔2 |
✔2 |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✔ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✔ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✔ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✔ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✔ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✔2 |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✔2 |
✔2 |
✖ |
✖ |
✖ |
|
|
✔2 |
✔2 |
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✔2 |
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✔2 |
✖ |
✖ |
✖ |
✔2 |
✔2 |
✔2 |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
R |
R |
R |
R |
R |
R |
R |
|
Attributo |
Tipo di chiavi |
Valore predefinito |
||||
---|---|---|---|---|---|---|
|
EC privato |
RSA privato |
AES |
DES3 |
Segreto generico |
|
|
✔2 |
✔2 |
✔2 |
✔2 |
✔2 |
|
|
✔2 |
✔2 |
✔2 |
✔2 |
✔2 |
|
|
✔ |
✔ |
✔ |
✔ |
✔ |
|
|
✔ |
✔ |
✔ |
✔ |
✔ |
|
|
R |
R |
R |
R |
R |
False |
|
✔ |
✔ |
✔ |
✔ |
✔ |
False |
|
✔1 |
✔1 |
✔1 |
✔1 |
✔1 |
True |
|
✖ |
✖ |
✔ |
✔ |
✖ |
False |
|
✖ |
✔ |
✔ |
✔ |
✖ |
False |
|
✔ |
✔ |
✔ |
✔ |
✔ |
False |
|
✔1 |
✔1 |
✔1 |
✔1 |
✔1 |
True |
|
✔ |
✔ |
✔ |
✔ |
✔ |
True |
|
✔ |
✔ |
✔ |
✔ |
✔ |
False |
|
✖ |
✔3 |
✖ |
✖ |
✖ |
False |
|
✖ |
✖ |
✔ |
✔ |
✔ |
False |
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✔ |
✔ |
✖ |
False |
|
✖ |
✔ |
✔ |
✔ |
✖ |
False |
|
✔ |
✔ |
✔ |
✔ |
✔ |
True |
|
✔ |
✔ |
✔ |
✔ |
✔ |
True |
|
R |
R |
R |
R |
R |
|
|
R |
R |
R |
R |
R |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
✖ |
✖ |
|
|
R |
R |
R |
R |
R |
|
Attributo |
Tipo di chiavi |
Valore predefinito |
||
---|---|---|---|---|
|
AES |
DES3 |
Segreto generico |
|
|
✔2 |
✔2 |
✔2 |
|
|
✔2 |
✔2 |
✔2 |
|
|
✔ |
✔ |
✔ |
|
|
✔ |
✔ |
✔ |
|
|
R |
R |
R |
True |
|
✔ |
✔ |
✔ |
False |
|
✔1 |
✔1 |
✔1 |
True |
|
✔ |
✔ |
✖ |
False |
|
✔ |
✔ |
✖ |
False |
|
✔ |
✔ |
✔ |
False |
|
✔1 |
✔1 |
✔1 |
True |
|
✔1 |
✔1 |
✔1 |
True |
|
✔ |
✔ |
✔ |
False |
|
✖ |
✖ |
✖ |
|
|
✔ |
✔ |
✔ |
False |
|
✖ |
✖ |
✖ |
|
|
✔ |
✔ |
✖ |
False |
|
✔ |
✔ |
✖ |
False |
|
✔ |
✔ |
✔ |
True |
|
✔ |
✔ |
✔ |
True |
|
R |
R |
R |
|
|
R |
R |
R |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✖ |
✖ |
✖ |
|
|
✔2 |
✖ |
✔2 |
|
|
R |
R |
R |
|
Attributo |
Tipo di chiavi |
||||||
---|---|---|---|---|---|---|---|
|
EC privato |
EC pubblico |
RSA privato |
RSA pubblico |
AES |
DES3 |
Segreto generico |
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
|
✔1 |
✔1 |
✔1 |
✔1 |
✔1 |
✔1 |
✔1 |
|
✖ |
✖ |
✖ |
✔ |
✔ |
✔ |
✖ |
|
✖ |
✖ |
✔ |
✖ |
✔ |
✔ |
✖ |
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
|
✔ |
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
|
✖ |
✖ |
✔ |
✖ |
✖ |
✖ |
✖ |
|
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
✔ |
|
✖ |
✖ |
✖ |
✔ |
✖ |
✖ |
✖ |
|
✖ |
✖ |
✖ |
✔ |
✔ |
✔ |
✖ |
|
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
✖ |
|
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
✔ |
|
✔ |
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
|
✖ |
✖ |
✔ |
✖ |
✔ |
✔ |
✖ |
|
✔ |
✖ |
✔ |
✖ |
✔ |
✔ |
✖ |
|
✔ |
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
|
✔ |
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
|
✔ |
✖ |
✔ |
✖ |
✔ |
✔ |
✔ |
|
R |
R |
R |
R |
R |
R |
R |
|
✖ |
✖ |
✔ |
✔ |
✖ |
✖ |
✖ |
|
✖ |
✖ |
✖ |
✔ |
✖ |
✖ |
✖ |
|
✖ |
✖ |
S |
✖ |
✖ |
✖ |
✖ |
|
✖ |
✖ |
S |
✖ |
✖ |
✖ |
✖ |
|
✖ |
✖ |
S |
✖ |
✖ |
✖ |
✖ |
|
✖ |
✖ |
S |
✖ |
✖ |
✖ |
✖ |
|
✖ |
✖ |
S |
✖ |
✖ |
✖ |
✖ |
|
✖ |
✖ |
S |
✖ |
✖ |
✖ |
✖ |
|
✖ |
✖ |
✔ |
✔ |
✖ |
✖ |
✖ |
|
✔ |
✔ |
✖ |
✖ |
✖ |
✖ |
✖ |
|
✖ |
✔ |
✖ |
✖ |
✖ |
✖ |
✖ |
|
S |
✖ |
✖ |
✖ |
✔2 |
✔2 |
✔2 |
|
✖ |
✖ |
✖ |
✖ |
✔ |
✖ |
✔ |
|
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
✖ |
Annotazioni degli attributi
-
[1] Questo attributo è parzialmente supportato dal firmware e deve essere impostato esplicitamente solo sul valore predefinito.
-
[2] Attributo obbligatorio.
-
[3] Solo Client SDK 3. L'attributo
CKA_SIGN_RECOVER
deriva dall'attributoCKA_SIGN
. Se impostato, può essere impostato solo sullo stesso valore impostato perCKA_SIGN
. Se non è impostato, ricava il valore predefinito diCKA_SIGN
. Poiché CloudHSM supporta solo i meccanismi di firma recuperabili basati su RSA, questo attributo è attualmente applicabile solo alle chiavi pubbliche RSA. -
[4] Solo Client SDK 3. L'attributo
CKA_VERIFY_RECOVER
deriva dall'attributoCKA_VERIFY
. Se impostato, può essere impostato solo sullo stesso valore impostato perCKA_VERIFY
. Se non è impostato, ricava il valore predefinito diCKA_VERIFY
. Poiché CloudHSM supporta solo i meccanismi di firma recuperabili basati su RSA, questo attributo è attualmente applicabile solo alle chiavi pubbliche RSA.
Modifica degli attributi
Alcuni attributi di un oggetto possono essere modificati dopo la creazione dell'oggetto, mentre altri no. Per modificare gli attributi, utilizza il comando setAttribute da cloudhsm_mgmt_util. È inoltre possibile ottenere un elenco di attributi e costanti che li rappresentano utilizzando il comando listAttribute da cloudhsm_mgmt_util.
L'elenco seguente mostra gli attributi modificabili dopo la creazione dell'oggetto:
-
CKA_LABEL
-
CKA_TOKEN
Nota
La modifica è consentita solo per la modifica di una chiave di sessione in una chiave di token. Utilizza il comando setAttribute da key_mgmt_util per modificare il valore dell'attributo.
-
CKA_ENCRYPT
-
CKA_DECRYPT
-
CKA_SIGN
-
CKA_VERIFY
-
CKA_WRAP
-
CKA_UNWRAP
-
CKA_LABEL
-
CKA_SENSITIVE
-
CKA_DERIVE
Nota
Questo attributo supporta la derivazione della chiave. Deve essere
False
per tutte le chiavi pubbliche e non può essere impostato suTrue
. Per le chiavi segrete ed EC private, può essere impostato suTrue
oFalse
. -
CKA_TRUSTED
Nota
Questo attributo può essere impostato su
True
o suFalse
solo da Responsabile della crittografia (CO). -
CKA_WRAP_WITH_TRUSTED
Nota
Applica questo attributo a una chiave di dati esportabile per specificare che è possibile eseguire il wrapping della chiave solo con chiavi contrassegnate come
CKA_TRUSTED
. Una volta impostato l'attributoCKA_WRAP_WITH_TRUSTED
su true, questo diventa di sola lettura e non è possibile modificarlo o rimuoverlo.
Interpretazione dei codici di errore
La specifica nel modello di un attributo non supportato da una chiave specifica genera un errore. La tabella riportata di seguito contiene i codici di errore generati quando si violano le specifiche:
Codice di errore | Descrizione |
---|---|
CKR_TEMPLATE_INCONSISTENT |
Si riceve questo errore quando si specifica un attributo nel modello di attributo, in cui l'attributo è conforme alla specifica PKCS #11, ma non è supportato da CloudHSM. |
CKR_ATTRIBUTE_TYPE_INVALID |
Si riceve questo errore quando si recupera il valore di un attributo, che è conforme alla specifica PKCS #11, ma non è supportato da CloudHSM. |
CKR_ATTRIBUTE_INCOMPLETE |
Si riceve questo errore quando non si specifica l'attributo obbligatorio nel modello di attributo. |
CKR_ATTRIBUTE_READ_ONLY |
Si riceve questo errore quando si specifica un attributo di sola lettura nel modello di attributo. |