Principais atributos da nuvem HSM CLI - AWS CloudHSM
Atributos compatíveisDetalhes adicionaisTópicos relacionados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Principais atributos da nuvem HSM CLI

Este tópico descreve como usar o Cloud HSM CLI para definir os principais atributos. Um atributo chave no Cloud HSM CLI pode definir o tipo de uma chave, como ela pode funcionar ou como uma chave é rotulada. Alguns atributos definem características exclusivas (o tipo de uma chave, por exemplo). Outros atributos podem ser definidos como verdadeiros ou falsos. Alterá-los ativa ou desativa uma parte da funcionalidade da chave.

Para ver exemplos de como usar os atributos de chave, consulte os comandos listados no comando principal chave.

Atributos compatíveis

Como melhor prática, defina valores somente para os atributos que deseja tornar restritivos. Se você não especificar um valor, o Cloud HSM CLI usará o valor padrão especificado na tabela abaixo.

A tabela a seguir lista os atributos de chave, valores possíveis, padrões e notas relacionadas. Uma célula vazia na coluna Valor indica que não há nenhum valor padrão específico atribuído ao atributo.

HSMCLIAtributo de nuvem Valor Modificável com a key set-attribute Configurável na criação da chave
always-sensitive

O valor é True se sensitive sempre esteve definido como True e nunca foi alterado.

 Não Não
check-value Valor de verificação da chave. Para obter mais informações, consulte Detalhes adicionais. Não Não
class

Valores possíveis: secret-key, public-key e private-key.

 Não Sim
curve

Curva elíptica usada para gerar o par de chaves EC.

Valores válidos: secp224r1, secp256r1, prime256v1, secp384r1, secp256k1 e secp521r1

 Não Configurável com EC, não configurável com RSA
decrypt

Padrão: False

 Sim Sim
derive

Padrão: False

 Sim Sim
destroyable

Padrão: True

 Sim Sim
ec-point

Para chaves EC, DER codificação do ECPoint valor “Q” de ANSI X9,62 em formato hexadecimal.

Para outros tipos de chave, esse atributo não existe.

 Não Não
encrypt

Padrão: False

 Sim Sim
extractable

Padrão: True

 Não Sim
id Padrão: Vazio Não Sim
key-length-bytes

Necessário para gerar uma AES chave.

Valores válidos: 16, 24 e 32 bytes.

 Não Não
key-type

Valores possíveis: aes, rsa e ec.

 Não Sim
label Padrão: Vazio Sim Sim
local

Padrão: True para chaves geradas noHSM, False para chaves importadas para HSM o.

 Não Não
modifiable

Padrão: True

 Não Não
modulus O módulo usado para gerar um par de RSA chaves. Para outros tipos de chave, esse atributo não existe. Não Não
modulus-size-bits

Necessário para gerar um par de RSA chaves.

Valor mínimo de 2048.

 Não Configurável comRSA, não configurável com EC
never-extractable

O valor é True se extraível nunca tiver sido definido como False.

O valor é False se extraível já tiver sido definido como True.

 Não Não
private

Padrão: True

 Não Sim
public-exponent

Necessário para gerar um par de RSA chaves.

Valores válidos: o valor deve ser um número ímpar maior que ou igual a 65537.

 Não Configurável comRSA, não configurável com EC
sensitive

Padrão:

  • O valor é True para AES chaves e chaves EC e RSA privadas.

  • O valor é False para EC e chaves RSA públicas.

 Não Configurável com chaves privadas, não configurável com chaves públicas.
sign

Padrão:

  • O valor é True para AES chaves.

  • O valor é False for RSA e chaves EC.

 Sim Sim
token

Padrão: False

 Não Sim
trusted

Padrão: False

 Sim Não
unwrap Padrão: False Sim Sim
unwrap-template Os valores devem usar o modelo de atributo aplicado a todas as chaves desencapsuladas com essa chave de encapsulamento. Sim Não
verify

Padrão:

  • O valor é True para AES chaves.

  • O valor é False for RSA e chaves EC.

 Sim Sim
wrap Padrão: False Sim Sim
wrap-template Os valores devem usar o modelo de atributo para corresponder à chave agrupada usando essa chave de agrupamento. Sim Não
wrap-with-trusted

Padrão: False

 Sim Sim

Detalhes adicionais

Valor de verificação

O valor da verificação é um hash ou soma de verificação de 3 bytes de uma chave que é gerada quando a chave é HSM importada ou gerada. Você também pode calcular um valor de verificação fora doHSM, como depois de exportar uma chave. Em seguida, você pode comparar os valores do valor de verificação para confirmar a identidade e a integridade da chave. Para obter o valor de verificação de uma chave, use a lista de chaves com o sinalizador detalhado.

AWS CloudHSM usa os seguintes métodos padrão para gerar um valor de verificação:

  • Chaves simétricas: primeiros 3 bytes do resultado da criptografia de um bloco zero com a chave.

  • Pares de chaves assimétricas: primeiros 3 bytes do hash SHA -1 da chave pública.

  • HMACkeys: KCV for HMAC keys não é suportado no momento.

Tópicos relacionados