翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
JCE プロバイダーでサポートされているメカニズム
このトピックでは、クライアント SDK 5 で JCE プロバイダーがサポートするメカニズムについて説明します。でサポートされている Java 暗号化アーキテクチャ (JCA) インターフェイスとエンジンクラスについては AWS CloudHSM、以下のトピックを参照してください。
トピック
キーとキーペアの関数を生成する
Java 用の AWS CloudHSM ソフトウェアライブラリでは、次のオペレーションを使用してキーとキーペア関数を生成できます。
-
RSA -
EC -
AES -
DESede (Triple DES)注記「1」を参照 -
GenericSecret
暗号関数
Java 用の AWS CloudHSM ソフトウェアライブラリは、次のアルゴリズム、モード、パディングの組み合わせをサポートしています。
| アルゴリズム | モード | [Padding] (パディング) | メモ |
|---|---|---|---|
| AES | CBC |
|
|
| AES | ECB |
|
|
| AES | CTR |
|
|
| AES | GCM |
|
AES-GCM 暗号化の実行時に、HSM はリクエスト内の初期化ベクトル (IV) を無視し、独自に IV を生成して使用します。オペレーションが完了したら、 |
| AESWrap | ECB |
|
|
| DESede (Triple DES) | CBC |
|
|
| DESede (Triple DES) | ECB |
|
|
| RSA | ECB |
|
|
| RSA | ECB |
|
|
| RSAAESWrap | ECB |
|
|
署名および検証
Java 用の AWS CloudHSM ソフトウェアライブラリは、次のタイプの署名と検証をサポートしています。Client SDK 5 とハッシュ機能付きの署名アルゴリズムでは、データはソフトウェアでローカルにハッシュされてから、署名/検証のために HSM に送信されます。つまり、SDK でハッシュできるデータのサイズに制限はありません。
RSA 署名タイプ
-
NONEwithRSA -
RSASSA-PSS -
SHA1withRSA -
SHA1withRSA/PSS -
SHA1withRSAandMGF1 -
SHA224withRSA -
SHA224withRSAandMGF1 -
SHA224withRSA/PSS -
SHA256withRSA -
SHA256withRSAandMGF1 -
SHA256withRSA/PSS -
SHA384withRSA -
SHA384withRSAandMGF1 -
SHA384withRSA/PSS -
SHA512withRSA -
SHA512withRSAandMGF1 -
SHA512withRSA/PSS
ECDSA 署名タイプ
-
NONEwithECDSA -
SHA1withECDSA -
SHA224withECDSA -
SHA256withECDSA -
SHA384withECDSA -
SHA512withECDSA
ダイジェスト関数
Java 用の AWS CloudHSM ソフトウェアライブラリは、次のメッセージダイジェストをサポートしています。Client SDK 5 では、データはソフトウェアでローカルにハッシュされます。つまり、SDK でハッシュできるデータのサイズに制限はありません。
-
SHA-1 -
SHA-224 -
SHA-256 -
SHA-384 -
SHA-512
Hash-based Message Authentication Code (HMAC) 関数
Java 用の AWS CloudHSM ソフトウェアライブラリは、次の HMAC アルゴリズムをサポートしています。
-
HmacSHA1(最大データサイズ (バイト): 16288) -
HmacSHA224(最大データサイズ (バイト): 16256) -
HmacSHA256(最大データサイズ (バイト): 16288) -
HmacSHA384(最大データサイズ (バイト): 16224) -
HmacSHA512(最大データサイズ (バイト): 16224)
暗号ベースのメッセージ認証コード (CMAC) 関数
CMAC (暗号ベースのメッセージ認証コード) は、ブロック暗号とシークレットキーを使用してメッセージ認証コード (MAC) を作成します。HMAC とは異なり、MAC にはハッシュ方式ではなくブロック対称キーメソッドを使用します。
Java 用の AWS CloudHSM ソフトウェアライブラリは、次の CMAC アルゴリズムをサポートしています。
-
AESCMAC
キーファクトリを使用してキーをキー仕様に変換します
キーファクトリを使用してキーをキー仕様に変換できます。 AWS CloudHSM には JCE 用の 2 種類のキーファクトリがあります。
SecretKeyFactory: 対称キーをインポートまたは取得するために使用されます。を使用すると SecretKeyFactory、サポートされているキーまたはサポートされている KeySpec を渡して、対称キーを にインポートまたは取得できます AWS CloudHSM。でサポートされている仕様は次のとおりです KeyFactory。
-
SecretKeyFactoryの
generateSecretメソッドでは、次のKeySpecクラスがサポートされています。 KeyAttributesMapを使用して、追加属性を持つキーバイトを CloudHSM キーとしてインポートできます。例はこちら
からご覧いただけます。 SecretKeySpec
を使用して、対称キー仕様を CloudHSM キーとしてインポートできます。 AesCmacKdfParameterSpecは、別の CloudHSM AES キーを使用して対称キーを導出するために使用できます。
注記
SecretKeyFactoryの translateKeyメソッドは、キーインターフェイスを実装するすべてのキー
KeyFactory: 非対称キーのインポートに使用されます。を使用すると KeyFactory、サポートされているキーを渡すか、サポートされているキー KeySpec を にインポートできます AWS CloudHSM。詳細については、以下のリソースを参照してください。
KeyFactoryの
generatePublicメソッドでは、次のKeySpecクラスがサポートされています。 RSA と EC の両方の CloudHSM KeyAttributesMap KeyTypes。以下が含まれます。
RSA と EC パブリック の両方の CloudHSM KeyAttributesMap KeyTypes。例はこちら
からご覧いただけます RSA と EC パブリックキーの両方の X509EncodedKeySpec
RSAPublicKeySpec
for RSA パブリックキー ECPublicKeySpec
パブリックキーの EC
KeyFactoryの
generatePrivateメソッドでは、次のKeySpecクラスがサポートされています。 RSA と EC の両方の CloudHSM KeyAttributesMap KeyTypes。以下が含まれます。
RSA と EC パブリック の両方の CloudHSM KeyAttributesMap KeyTypes。例はこちら
からご覧いただけます EC プライベートキーと RSA プライベートキーの両方の PKCS8EncodedKeySpec
RSAPrivateCrtKeySpec
for RSA プライベートキー ECPrivateKeySpec
プライベートキーの EC
KeyFactoryの translateKeyメソッドでは、キーインターフェイス を実装する任意のキーを取り
メカニズムの注釈
[1] NIST のガイダンスに従い、これは 2023 年以降、FIPS モードのクラスターでは許可されません。非 FIPS モードのクラスターの場合、2023 年以降も許可されます。詳細については、「FIPS 140 コンプライアンス: 2024 年 メカニズムの非推奨」を参照してください。
