Paso 1: establezca la clave de datos CKA_WRAP_WITH_TRUSTED como true Paso 2: establecer la clave de confianza CKA_TRUSTED como true Paso 3. Uso de la clave de confianza para encapsular la clave de datos

Cómo usar claves de confianza para empaquetar claves de datos en AWS CloudHSM

Para usar una clave de confianza para empaquetar una clave de datos en el AWS CloudHSM, debe completar tres pasos básicos:

Para la clave de datos que planea encapsular con una clave de confianza, defina su atributo CKA_WRAP_WITH_TRUSTED como verdadero.
Para la clave de datos que planea encapsular con una clave de confianza, defina su atributo CKA_TRUSTED como true.
Use la clave de confianza para encapsular la clave de datos.

Paso 1: establezca la clave de datos `CKA_WRAP_WITH_TRUSTED` como true

Para la clave de datos que desea encapsular, elija una de las siguientes opciones para establecer el atributo CKA_WRAP_WITH_TRUSTED de la clave como true. Esto restringe la clave de los datos para que las aplicaciones solo puedan utilizar claves de confianza para encapsularlos.

Opción 1: si se genera una clave nueva, establezca `CKA_WRAP_WITH_TRUSTED` como true.

Genere una clave mediante PKCS #11, JCE o CloudHSM CLI. Consulte los siguientes ejemplos para obtener más información.

PKCS #11

Para generar una clave con PKCS #11, debe establecer el atributo CKA_WRAP_WITH_TRUSTED de clave como true. Como se muestra en el siguiente ejemplo, hágalo incluyendo este atributo en el CK_ATTRIBUTE template de la clave y, a continuación, establezca el atributo como true:


CK_BYTE_PTR label = "test_key";
CK_ATTRIBUTE template[] = {
        {CKA_WRAP_WITH_TRUSTED, &true_val,         sizeof(CK_BBOOL)},
        {CKA_LABEL,             label,             strlen(label)},
        ...
};

Para obtener más información, consulte nuestros ejemplos públicos que muestran la generación de claves con el PKCS #11.

JCE

Para generar una clave con JCE, debe establecer el atributo WRAP_WITH_TRUSTED de la clave en true. Como se muestra en el siguiente ejemplo, hágalo incluyendo este atributo en el KeyAttributesMap de la clave y, a continuación, establezca el atributo como true:


final String label = "test_key";
final KeyAttributesMap keySpec = new KeyAttributesMap();
keySpec.put(KeyAttribute.WRAP_WITH_TRUSTED, true);
keySpec.put(KeyAttribute.LABEL, label);
...

Para obtener más información, consulte nuestros ejemplos públicos que muestran la generación de claves con JCE.

CloudHSM CLI

Para generar una clave con la CLI de CloudHSM, debe establecer el atributo wrap-with-trusted de clave como true. Para ello, incluya wrap-with-trusted=true en el argumento apropiado para el comando de generación de claves:

En el caso de claves simétricas, añada wrap-with-trusted al argumento attributes.
En el caso de las claves públicas, añada wrap-with-trusted al argumento public-attributes.
Para claves privadas, añada wrap-with-trusted al argumento private-attributes.

Para más información sobre la generación de pares de claves, consulte La categoría generate-asymmetric-pair en la CLI de CloudHSM.

Para obtener más información sobre la generación de claves simétricas, consulte La categoría generate-symmetric en la CLI de CloudHSM.

Opción 2: si utiliza una clave existente, utilice la CLI de CloudHSM para establecer su `CKA_WRAP_WITH_TRUSTED` como true.

Para establecer el atributo CKA_WRAP_WITH_TRUSTED de una clave existente como verdadero, siga estos pasos:

Utilice el comando Iniciar sesión en un HSM mediante la CLI de CloudHSM para iniciar sesión como usuario de criptografía (CU).

Utilice el comando Establecimiento de los atributos de las claves con la CLI de CloudHSM para establecer el atributo wrap-with-trusted de la clave como verdadero.


aws-cloudhsm > key set-attribute --filter attr.label=test_key --name wrap-with-trusted --value true
{
  "error_code": 0,
  "data": {
    "message": "Attribute set successfully"
  }
}

Paso 2: establecer la clave de confianza `CKA_TRUSTED` como true

Para convertir una clave en una clave de confianza, su atributo CKA_TRUSTED debe estar establecido como true. Para ello, puede utilizar la CLI de CloudHSM o la utilidad de administración de CloudHSM (CMU).

Si utiliza la CLI de CloudHSM para establecer el atributo de CKA_TRUSTED de una clave, consulte Marcar una clave como confiable con la CLI de CloudHSM.
Si utiliza la CMU para establecer el atributo de una clave CKA_TRUSTED, consulte Cómo marcar una clave como confiable con la utilidad de administración de AWS CloudHSM.

Paso 3. Uso de la clave de confianza para encapsular la clave de datos

Para encapsular la clave de datos a la que se hace referencia en el paso 1 con la clave de confianza que configuró en el paso 2, consulte los siguientes enlaces para ver ejemplos de código. En cada uno de ellos se muestra cómo encapsular las claves.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Atributos de clave de confianza

¿Cómo desencapsular una clave de datos con una clave de confianza?

Cómo usar claves de confianza para empaquetar claves de datos en AWS CloudHSM

Paso 1: establezca la clave de datos CKA_WRAP_WITH_TRUSTED como true

Opción 1: si se genera una clave nueva, establezca CKA_WRAP_WITH_TRUSTED como true.

Opción 2: si utiliza una clave existente, utilice la CLI de CloudHSM para establecer su CKA_WRAP_WITH_TRUSTED como true.

Paso 2: establecer la clave de confianza CKA_TRUSTED como true

Paso 3. Uso de la clave de confianza para encapsular la clave de datos

Paso 1: establezca la clave de datos `CKA_WRAP_WITH_TRUSTED` como true

Opción 1: si se genera una clave nueva, establezca `CKA_WRAP_WITH_TRUSTED` como true.

Opción 2: si utiliza una clave existente, utilice la CLI de CloudHSM para establecer su `CKA_WRAP_WITH_TRUSTED` como true.

Paso 2: establecer la clave de confianza `CKA_TRUSTED` como true