Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AES-Schlüssel einpacken AWS CloudHSM
In diesem Thema werden die Optionen für das Umschließen von AES-Schlüsseln beschrieben AWS CloudHSM. Die AES Key Wrapping verwendet einen AES-Schlüssel (den Verschlüsselungsschlüssel), um einen anderen Schlüssel eines beliebigen Typs (den Zielschlüssel) zu verschlüsseln. Sie verwenden die Verschlüsselung, um gespeicherte Schlüssel zu schützen oder Schlüssel über unsichere Netzwerke zu übermitteln.
**Topics**
+ [Unterstützte Algorithmen](#supported-types)
+ [Verwenden Sie den AES-Schlüsselumbruch AWS CloudHSM](#use-aes-key-wrap)
## Unterstützte Algorithmen
AWS CloudHSM bietet drei Optionen für das Umschließen von AES-Schlüsseln, die jeweils darauf basieren, wie der Zielschlüssel vor dem Umbruch aufgefüllt wird. Das Padding erfolgt automatisch in Übereinstimmung mit dem von Ihnen verwendeten Algorithmus, wenn Sie die Verschlüsselung aufrufen. In der folgenden Tabelle sind die unterstützten Algorithmen und die zugehörigen Details aufgeführt, um Ihnen bei der Auswahl eines geeigneten Verschlüsselungsmechanismus für Ihre Anwendung zu helfen.
| AES-Verschlüsselungsalgorithmus | Spezifikation | Unterstützte Zielschlüsseltypen | Padding-Schema | AWS CloudHSM Verfügbarkeit des Clients |
| --- | --- | --- | --- | --- |
| AES-Verschlüsselung mit Zero Padding | [RFC 5649](https://tools.ietf.org/html/rfc5649) [und SP 800—38F](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-38F.pdf) | Alle | Fügt zur Blockausrichtung Schlüssel-Bits nach Bedarf Nullen hinzu | SDK 3.1 und höher |
| AES-Verschlüsselung ohne Padding | [https://tools.ietf.org/html/rfc3394](https://tools.ietf.org/html/rfc3394) | Blockausgerichtete Schlüssel wie AES und 3DES | Keine | SDK 3.1 und höher |
| AES-Verschlüsselung mit PKCS \$15 Padding | Keine | Alle | Mindestens 8 Bytes werden gemäß PKCS \$15 Padding-Schema zur Blockausrichtung hinzugefügt | Alle |
Weitere Informationen zur Verwendung der AES-Verschlüsselungsalgorithmen aus der vorangegangenen Tabelle in Ihrer Anwendung finden Sie unter [Verwenden von AES Key Wrap in AWS CloudHSM.](#use-aes-key-wrap)
### Grundlegendes zu Initialisierungsvektoren in der AES-Verschlüsselung
Vor dem Verschlüsseln hängt CloudHSM einen Initialisierungsvektor (IV) an den Zielschlüssel für die Datenintegrität an. Jeder Verschlüsselungsalgorithmus weist spezifische Einschränkungen auf, welcher IV-Typ zulässig ist. Um die IV einzustellen, haben Sie zwei Möglichkeiten AWS CloudHSM:
+ Implizit: Setzen Sie den IV auf NULL und CloudHSM verwendet für diesen Algorithmus den Standardwert für Ver- und Entschlüsselungsvorgänge (empfohlen)
+ Explizit: Legen Sie den IV fest, indem Sie den Standard-IV-Wert an die Verschlüsselungsfunktion übergeben.
**Wichtig**
Sie müssen wissen, welchen IV Sie in Ihrer Anwendung verwenden. Um den Schlüssel zu entschlüsseln, müssen Sie denselben IV angeben, den Sie zum Verschlüsseln des Schlüssels verwendet haben. Wenn Sie einen impliziten IV zum Verschlüsseln verwenden, wenden Sie zum Entschlüsseln einen impliziten IV an. Bei einem impliziten IV verwendet CloudHSM zum Entschlüsseln den Standardwert.
In der folgenden Tabelle werden die zulässigen Werte beschrieben IVs, für die der Wrapping-Algorithmus festlegt.
****
| AES-Verschlüsselungsalgorithmus | Implizite IV | Expliziter IV |
| --- | --- | --- |
| AES-Verschlüsselung mit Zero Padding | Erforderlich Standardwert: (intern berechneter IV basierend auf der Spezifikation) | Nicht zulässig |
| AES-Verschlüsselung ohne Padding | Zulässig (empfohlen) Standardwert: `0xA6A6A6A6A6A6A6A6` | Zulässig Nur dieser Wert akzeptiert: `0xA6A6A6A6A6A6A6A6` |
| AES-Verschlüsselung mit PKCS \$15 Padding | Zulässig (empfohlen) Standardwert: `0xA6A6A6A6A6A6A6A6` | Zulässig Nur dieser Wert akzeptiert: `0xA6A6A6A6A6A6A6A6` |
## Verwenden Sie den AES-Schlüsselumbruch AWS CloudHSM
Sie packen und entpacken Schlüssel wie folgt:
+ Wählen Sie wie in der folgenden Tabelle dargestellt in der [PCS \$111-Bibliothek](pkcs11-library.md) den entsprechenden Mechanismus für die Funktionen `C_WrapKey` und `C_UnWrapKey` aus.
+ Wählen Sie wie in der folgenden Tabelle dargestellt im [JCE-Anbieter](java-library.md) den entsprechenden Algorithmus, den Modus und die Padding-Kombination zur Implementierung der Cipher-Methoden `Cipher.WRAP_MODE` und `Cipher.UNWRAP_MODE` aus.
+ Wählen Sie in der [CloudHSM-CLI](cloudhsm_cli.md) den entsprechenden Algorithmus aus der Liste der unterstützten [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md) Algorithmen [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md) und Algorithmen aus, wie in der folgenden Tabelle dargestellt.
+ Verwenden Sie wie in der folgenden Tabelle dargestellt in [key\$1mgmt\$1util (KMU)](key_mgmt_util.md) die Befehle [Exportieren Sie einen AWS CloudHSM Schlüssel mit KMU](key_mgmt_util-wrapKey.md) und [Entpacken Sie einen AWS CloudHSM Schlüssel mit KMU](key_mgmt_util-unwrapKey.md) mit entsprechenden m-Werten.
****
| AES-Verschlüsselungsalgorithmus | PKCS \$111-Mechanismus | Java-Methode | CloudHSM CLI-Unterbefehl | Argument des Key Management Utility (KMU) |
| --- | --- | --- | --- | --- |
| AES-Verschlüsselung mit Zero Padding | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/manage-aes-key-wrapping.html) | AESWrap/ECB/ZeroPadding | aes-zero-pad | m = 6 |
| AES-Verschlüsselung ohne Padding | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/manage-aes-key-wrapping.html) | AESWrap/ECB/NoPadding | aes-no-pad | m = 5 |
| AES-Verschlüsselung mit PKCS \$15 Padding | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/manage-aes-key-wrapping.html) | AESWrap/ECB/PKCS5Padding | aes-pkcs5-pad | m = 4 |