주요 자재 단계 가져오기 3: 키 재료 암호화 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

주요 자재 단계 가져오기 3: 키 재료 암호화

퍼블릭 키와 가져오기 토큰을 다운로드한 후 퍼블릭 키를 이용해 키 구성 요소를 암호화합니다. 키 구성 요소는 이진 형식이어야 합니다.

일반적으로 하드웨어 보안 모듈(HSM)이나 키 관리 시스템에서 내보낼 때 키 구성 요소를 암호화합니다. 이진 형식으로 키 구성 요소를 내보내는 방법은 HSM 또는 키 관리 시스템에 대한 문서를 참조하십시오. OpenSSL을 이용해 개념 증명 데모를 제공하는 다음 섹션을 참조할 수도 있습니다.

키 구성 요소를 암호화하려면, 퍼블릭 키와 가져오기 토큰을 다운로드할 때 지정한 패딩 옵션과 함께 암호화 스키마를 사용합니다(RSAES_OAEP_SHA_256, RSAES_OAEP_SHA_1 또는 RSAES_PKCS1_V1_5).

예: openssl으로 키 재료 암호화

다음 예는 사용하는 방법을 보여줍니다. openssl 256비트 대칭 키를 생성한 다음 이 키 자료를 암호화하여 KMS로 가져오기 고객 마스터 키 (CMK) ).

중요

이 예제는 개념 증명 데모로만 제공됩니다. 프로덕션 시스템에서 보안이 강화된 메서드(상용 HSM 또는 키 관리 시스템 등)를 사용해 키 구성 요소를 생성하고 저장합니다.

이 예에서는 RSAES_OAEP_SHA_1 암호화 알고리즘이 가장 이상적입니다. 예제를 실행하기 전에 2단계의 래핑 알고리즘에 RSAES_OAEP_SHA_1을 사용했는지 확인합니다. 필요에 따라 단계를 반복해 퍼블릭 키와 토큰을 다운로드하고 가져옵니다.

OpenSSL을 이용해 이진 키 구성 요소를 생성하고 AWS KMS로 가져오기 위해 암호화하려면

  1. 다음 명령을 이용해 256 비트 대칭 키를 생성하고 PlaintextKeyMaterial.bin이라는 파일에 저장합니다.

    $ openssl rand -out PlaintextKeyMaterial.bin 32
  2. 다음 명령을 사용하여 이전에 다운로드한 공개 키로 키 자료를 암호화하십시오(참조). 퍼블릭 키 및 가져오기 토큰 다운로드(AWS KMS API))를 클릭하고 EncryptedKeyMaterial.bin. 교체 PublicKey.bin 공용 키를 포함하는 파일의 이름을 지정합니다. 콘솔에서 공개 키를 다운로드한 경우 이 파일은 래핑키_CMK_key_ID_timestamp 예를 들어 wrappingKey_f44c4e20-f83c-48f4-adc6-a1ef38829760_0809092909) ).

    $ openssl rsautl -encrypt \ -in PlaintextKeyMaterial.bin \ -oaep \ -inkey PublicKey.bin \ -keyform DER \ -pubin \ -out EncryptedKeyMaterial.bin

단계 4: 키 구성 요소 가져오기 항목으로 이동합니다.