本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
用戶端 SDK 3 支援的機制
如需支援之 Java 密碼編譯架構 (JCA) 介面和引擎類別的相關資訊 AWS CloudHSM,請參閱下列主題。
支援的金鑰
Java AWS CloudHSM 軟體程式庫可讓您產生下列金鑰類型。
-
AES:128 位元、192 位元和 256 位元 AES 金鑰。
-
DESede:92 位元 3DES 金錀。請參閱下列備註 1 查看即將進行的變更。
-
NIST 曲線 secp256r1 (P-256)、secp384r1 (P-384) 和 secp256k1 (區塊鏈) 的 ECC 金鑰對。
-
RSA:2048 位元至 4096 位元 RSA 金鑰,以 256 位元為單位遞增。
除了標準參數,我們也支援產生的每個金鑰使用下列參數。
-
Label:金鑰標籤,您可以使用來搜尋金鑰。
-
isExtractable :指示是否可以從 HSM 匯出該金鑰。
-
isPersistent :指出在目前工作階段結束時,HSM 上是否保留金鑰。
注意
Java 程式庫 3.1 版更詳細地提供指定參數的能力。如需詳細資訊,請參閱支援的 Java 屬性。
受支援的密碼
Java 的 AWS CloudHSM 軟體程式庫支援下列演算法、模式和填補組合。
| 演算法 | Mode | 填補 | 備註 |
|---|---|---|---|
| AES | CBC |
|
實作 |
| AES | ECB |
|
實作 Cipher.ENCRYPT_MODE 和 Cipher.DECRYPT_MODE。使用轉型 AES。 |
| AES | CTR |
|
實作 |
| AES | GCM | AES/GCM/NoPadding |
實作 執行 AES-GCM 加密時,HSM 會忽略請求中的初始化向量 (IV),並使用自己產生的 IV。操作完成後,您必須呼叫 |
| AESWrap | ECB |
|
實作 |
| DESede (三重 DES) | CBC |
|
實作 金鑰產生常式接受 168 或 192 位元的大小。不過,在內部所有 DESede 金鑰都是 192 位元。 請參閱下列備註 1 查看即將進行的變更。 |
| DESede (三重 DES) | ECB |
|
實作 金鑰產生常式接受 168 或 192 位元的大小。不過,在內部所有 DESede 金鑰都是 192 位元。 請參閱下列備註 1 查看即將進行的變更。 |
| RSA | ECB |
|
實作 請參閱下列備註 1 查看即將進行的變更。 |
| RSA | ECB |
|
實作
|
| RSAAESWrap | ECB | OAEPPADDING |
實作 Cipher.WRAP_Mode 和 Cipher.UNWRAP_MODE。 |
支援的摘要
Java 的 AWS CloudHSM 軟體程式庫支援下列訊息摘要。
-
SHA-1 -
SHA-224 -
SHA-256 -
SHA-384 -
SHA-512
注意
長度在 16 KB 下的資料是在 HSM 上進行雜湊處理,而較大的資料則是在本機軟體中進行雜湊處理。
支援的雜湊訊息驗證碼 (HMAC) 演算法
適用於 Java 的 AWS CloudHSM 軟體程式庫支援下列 HMAC 演算法。
-
HmacSHA1 -
HmacSHA224 -
HmacSHA256 -
HmacSHA384 -
HmacSHA512
支援的登入/驗證機制
Java AWS CloudHSM 軟體程式庫支援下列類型的簽章和驗證。
RSA 簽章類型
-
NONEwithRSA -
SHA1withRSA -
SHA224withRSA -
SHA256withRSA -
SHA384withRSA -
SHA512withRSA -
SHA1withRSA/PSS -
SHA224withRSA/PSS -
SHA256withRSA/PSS -
SHA384withRSA/PSS -
SHA512withRSA/PSS
ECDSA 簽章類型
-
NONEwithECDSA -
SHA1withECDSA -
SHA224withECDSA -
SHA256withECDSA -
SHA384withECDSA -
SHA512withECDSA
機制註釋
[1] 根據 NIST 指引,在 2023 年之後,FIPS 模式下的叢集不允許這樣做。對於非 FIP 模式下的叢集,在 2023 之後仍然允許使用。如需詳細資訊,請參閱 FIPS 140 合規性:2024 機制棄用。
