As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Principais atributos da nuvem HSM CLI
Este tópico descreve como usar o Cloud HSM CLI para definir os principais atributos. Um atributo chave no Cloud HSM CLI pode definir o tipo de uma chave, como ela pode funcionar ou como uma chave é rotulada. Alguns atributos definem características exclusivas (o tipo de uma chave, por exemplo). Outros atributos podem ser definidos como verdadeiros ou falsos. Alterá-los ativa ou desativa uma parte da funcionalidade da chave.
Para ver exemplos de como usar os atributos de chave, consulte os comandos listados no comando principal chave.
Atributos compatíveis
Como melhor prática, defina valores somente para os atributos que deseja tornar restritivos. Se você não especificar um valor, o Cloud HSM CLI usará o valor padrão especificado na tabela abaixo.
A tabela a seguir lista os atributos de chave, valores possíveis, padrões e notas relacionadas. Uma célula vazia na coluna Valor indica que não há nenhum valor padrão específico atribuído ao atributo.
HSMCLIAtributo de nuvem | Valor | Modificável com a key set-attribute | Configurável na criação da chave |
---|---|---|---|
always-sensitive |
O valor é |
Não | Não |
check-value |
Valor de verificação da chave. Para obter mais informações, consulte Detalhes adicionais. | Não | Não |
class |
Valores possíveis: |
Não | Sim |
curve |
Curva elíptica usada para gerar o par de chaves EC. Valores válidos: |
Não | Configurável com EC, não configurável com RSA |
decrypt |
Padrão: |
Sim | Sim |
derive |
Padrão: |
Sim | Sim |
destroyable |
Padrão: |
Sim | Sim |
ec-point |
Para chaves EC, DER codificação do ECPoint valor “Q” de ANSI X9,62 em formato hexadecimal. Para outros tipos de chave, esse atributo não existe. |
Não | Não |
encrypt |
Padrão: |
Sim | Sim |
extractable |
Padrão: |
Não | Sim |
id |
Padrão: Vazio | Não | Sim |
key-length-bytes |
Necessário para gerar uma AES chave. Valores válidos: |
Não | Não |
key-type |
Valores possíveis: |
Não | Sim |
label |
Padrão: Vazio | Sim | Sim |
local |
Padrão: |
Não | Não |
modifiable |
Padrão: |
Não | Não |
modulus |
O módulo usado para gerar um par de RSA chaves. Para outros tipos de chave, esse atributo não existe. | Não | Não |
modulus-size-bits |
Necessário para gerar um par de RSA chaves. Valor mínimo de |
Não | Configurável comRSA, não configurável com EC |
never-extractable |
O valor é O valor é |
Não | Não |
private |
Padrão: |
Não | Sim |
public-exponent |
Necessário para gerar um par de RSA chaves. Valores válidos: o valor deve ser um número ímpar maior que ou igual a |
Não | Configurável comRSA, não configurável com EC |
sensitive |
Padrão:
|
Não | Configurável com chaves privadas, não configurável com chaves públicas. |
sign |
Padrão:
|
Sim | Sim |
token |
Padrão: |
Não | Sim |
trusted |
Padrão: |
Sim | Não |
unwrap |
Padrão: False |
Sim | Sim |
unwrap-template |
Os valores devem usar o modelo de atributo aplicado a todas as chaves desencapsuladas com essa chave de encapsulamento. | Sim | Não |
verify |
Padrão:
|
Sim | Sim |
wrap |
Padrão: False |
Sim | Sim |
wrap-template |
Os valores devem usar o modelo de atributo para corresponder à chave agrupada usando essa chave de agrupamento. | Sim | Não |
wrap-with-trusted |
Padrão: |
Sim | Sim |
Detalhes adicionais
- Valor de verificação
-
O valor da verificação é um hash ou soma de verificação de 3 bytes de uma chave que é gerada quando a chave é HSM importada ou gerada. Você também pode calcular um valor de verificação fora doHSM, como depois de exportar uma chave. Em seguida, você pode comparar os valores do valor de verificação para confirmar a identidade e a integridade da chave. Para obter o valor de verificação de uma chave, use a lista de chaves com o sinalizador detalhado.
AWS CloudHSM usa os seguintes métodos padrão para gerar um valor de verificação:
-
Chaves simétricas: primeiros 3 bytes do resultado da criptografia de um bloco zero com a chave.
-
Pares de chaves assimétricas: primeiros 3 bytes do hash SHA -1 da chave pública.
-
HMACkeys: KCV for HMAC keys não é suportado no momento.
-