Gerar chaves simétricas Gerar chaves assimétricas Tópicos relacionados

Usando a CLI do CloudHSM para gerar chaves

Antes de gerar uma chave, você deve iniciar a CLI do CloudHSM e fazer login como um usuário de criptografia (CU). Para gerar chaves no HSM, use o comando que corresponde ao tipo de chave que você deseja gerar.

Gerar chaves simétricas

Use os comandos listados em key generate-symmetric para gerar chaves simétricas. Para consultar todas as opções disponíveis, use o comando help key generate-symmetric.

Gerar uma chave de AES.

Use o comando key generate-symmetric aes para gerar chaves AES. Para consultar todas as opções disponíveis, use o comando help key generate-symmetric aes.

O exemplo a seguir gera uma chave AES de 32 bytes.


aws-cloudhsm > key generate-symmetric aes \
    --label aes-example \
    --key-length-bytes 32

Argumentos

<LABEL>

Especifica o rótulo da chave privada definida pelo usuário para a chave AES.

Obrigatório: Sim

<KEY-LENGTH-BYTES>

Especifica o tamanho da chave em bytes.

Valores válidos:

16, 24 e 32

Obrigatório: Sim

<KEY_ATTRIBUTES>

Especifica uma lista separada por espaços dos atributos de chave a serem definidos para a chave AES gerada na forma de KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (por exemplo, token=true)

Para obter uma lista dos AWS CloudHSM principais atributos compatíveis, consultePrincipais atributos da nuvem HSM CLI.

Obrigatório: não

<SESSION>

Cria uma chave que existe apenas na sessão atual. A chave não pode ser recuperada após o término da sessão. Use esse parâmetro quando precisar de uma chave apenas brevemente, como uma chave de empacotamento que criptografa e, em seguida, descriptografa rapidamente outra chave. Não use uma chave de sessão para criptografar dados que você talvez precise descriptografar após o término da sessão.

Para transformar uma chave de sessão em uma chave persistente (token), use key set-attribute.

Por padrão, quando as chaves são geradas, elas são chaves persistentes/token. Usar <SESSION> muda isso, garantindo que uma chave gerada com esse argumento seja uma sessão/efêmera

Obrigatório: não

Gerar chave secreta genérica

Use o comando key generate-symmetric generic-secret para gerar chaves secretas genéricas. Para consultar todas as opções disponíveis, use o comando help key generate-symmetric generic-secret.

O exemplo a seguir gera uma chave secreta genérica de 32 bytes.


aws-cloudhsm > key generate-symmetric generic-secret \
    --label generic-secret-example \
    --key-length-bytes 32

Argumentos

<LABEL>

Especifica um rótulo definido pelo usuário para a chave secreta genérica.

Obrigatório: Sim

<KEY-LENGTH-BYTES>

Especifica o tamanho da chave em bytes.

Valores válidos:

1 a 800

Obrigatório: Sim

<KEY_ATTRIBUTES>

Especifica uma lista separada por espaços dos atributos de chave a serem definidos para a chave secreta genérica gerada na forma de KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (por exemplo, token=true)

Para obter uma lista dos AWS CloudHSM principais atributos compatíveis, consultePrincipais atributos da nuvem HSM CLI.

Obrigatório: não

<SESSION>

Para transformar uma chave de sessão em uma chave persistente (token), use key set-attribute.

Por padrão, quando as chaves são geradas, elas são chaves persistentes/token. Usar <SESSION> muda isso, garantindo que uma chave gerada com esse argumento seja uma sessão/efêmera

Obrigatório: não

Gerar chaves assimétricas

Use os comandos listados em chave generate-asymmetric-pair para gerar pares de chaves assimétricas.

Gerar uma chave RSA

Use o comando key generate-asymmetric-pair rsa para gerar um par de chaves RSA. Para consultar todas as opções disponíveis, use o comando help key generate-asymmetric-pair rsa.

O exemplo a seguir gera um par de chaves RSA de 2048 bits.


aws-cloudhsm > key generate-asymmetric-pair rsa \
    --public-exponent 65537 \
    --modulus-size-bits 2048 \
    --public-label rsa-public-example \
    --private-label rsa-private-example

Argumentos

<PUBLIC_LABEL>

Especifica um rótulo definido pelo usuário para a chave pública.

Obrigatório: Sim

<PRIVATE_LABEL>

Especifica o rótulo da chave privada definida pelo usuário.

Obrigatório: Sim

<MODULUS_SIZE_BITS>

Especifica o comprimento do módulo em bits. O valor mínimo é 2048.

Obrigatório: Sim

<PUBLIC_EXPONENT>

Especifica o expoente público. O valor deve ser um número ímpar maior que ou igual a 65537.

Obrigatório: Sim

<PUBLIC_KEY_ATTRIBUTES>

Especifica uma lista separada por espaços dos atributos de chave a serem definidos para a chave pública RSA na forma de KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (por exemplo, token=true).

Para obter uma lista dos AWS CloudHSM principais atributos compatíveis, consultePrincipais atributos da nuvem HSM CLI.

Obrigatório: não

<SESSION>

Para transformar uma chave de sessão em uma chave persistente (token), use key set-attribute.

Por padrão, quando as chaves são geradas, elas são chaves persistentes/token. Usar <SESSION> muda isso, garantindo que uma chave gerada com esse argumento seja uma sessão/efêmera

Obrigatório: não

Gerar pares de chaves EC (protocolo de criptografia de curva elíptica)

Use o comando key generate-asymmetric-pair ec para gerar um par de chaves EC. Para consultar todas as opções disponíveis, incluindo uma lista das curvas elípticas suportadas, use o comando help key generate-asymmetric-pair ec.

O exemplo a seguir gera um par de chaves ECC usando a curva elíptica Secp384r1.


aws-cloudhsm > key generate-asymmetric-pair ec \
    --curve secp384r1 \
    --public-label ec-public-example \
    --private-label ec-private-example

Argumentos

<PUBLIC_LABEL>

Especifica um rótulo definido pelo usuário para a chave pública. O tamanho máximo permitido label é de 127 caracteres para o SDK do cliente 5.11 e versões posteriores. O SDK do cliente 5.10 e versões anteriores tem um limite de 126 caracteres.

Obrigatório: Sim

<PRIVATE_LABEL>

Especifica o rótulo da chave privada definida pelo usuário. O tamanho máximo permitido label é de 127 caracteres para o SDK do cliente 5.11 e versões posteriores. O SDK do cliente 5.10 e versões anteriores tem um limite de 126 caracteres.

Obrigatório: Sim

<CURVE>

Especifica o identificador da curva elíptica.

Valores válidos:

prime256v1
secp256r1
secp224r1
secp384r1
secp256k1
secp521r1

Obrigatório: Sim

<PUBLIC_KEY_ATTRIBUTES>

Especifica uma lista separada por espaços dos principais atributos a serem definidos para a chave pública EC gerada na forma de KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (por exemplo, token=true).

Para obter uma lista dos AWS CloudHSM principais atributos compatíveis, consultePrincipais atributos da nuvem HSM CLI.

Obrigatório: não

<PRIVATE_KEY_ATTRIBUTES>

Especifica uma lista separada por espaços dos principais atributos a serem definidos para a chave privada EC gerada na forma de KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (por exemplo, token=true).

Para obter uma lista dos AWS CloudHSM principais atributos compatíveis, consultePrincipais atributos da nuvem HSM CLI.

Obrigatório: não

<SESSION>

Para transformar uma chave de sessão em uma chave persistente (token), use key set-attribute.

Por padrão, as chaves geradas são chaves persistentes (tokens). Passar <SESSION> muda isso, garantindo que uma chave gerada com esse argumento seja uma chave de sessão (efêmera).

Obrigatório: não

Tópicos relacionados

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciando chaves com a CLI do CloudHSM

Excluir chaves