Consenti al provider JCE di estrarre chiavi private segrete da AWS CloudHSM - AWS CloudHSM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Consenti al provider JCE di estrarre chiavi private segrete da AWS CloudHSM

Utilizza i seguenti passaggi per consentire al provider AWS CloudHSM JCE di estrarre i segreti della tua chiave privata.

Importante

Questa modifica alla configurazione consente l'estrazione di tutti i byte chiave EXTRACTABLE in chiaro dal cluster HSM. Per una maggiore sicurezza, è consigliabile prendere in considerazione l'utilizzo di metodi di wrapping di chiavi per estrarre la chiave dall'HSM in modo sicuro. Ciò impedisce l'estrazione involontaria dei byte della chiave dall'HSM.

  1. Utilizza i seguenti comandi per consentire l'estrazione delle chiavi private o segrete in JCE:

    Linux
    
$ /opt/cloudhsm/bin/configure-jce --enable-clear-key-extraction-in-software
    Windows
    
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --enable-clear-key-extraction-in-software

  2. Una volta abilitata l'estrazione delle chiavi in chiaro, vengono abilitati i seguenti metodi per estrarre le chiavi private in memoria.

    Classe Metodo Formato (getEncoded)
    Chiave getEncoded() RAW
    ECPrivateChiave getEncoded() PKCS #8
    getS() N/D
    RSAPrivateCrtKey getEncoded() X.509
    getPrivateExponent() N/D
    getPrimeP() N/D
    getPrimeQ() N/D
    getPrimeExponentP () N/D
    getPrimeExponentQ () N/D
    getCrtCoefficient() N/D

Se desideri ripristinare il comportamento predefinito e non consentire a JCE di esportare le chiavi in chiaro, esegui il seguente comando:

Linux

$ /opt/cloudhsm/bin/configure-jce --disable-clear-key-extraction-in-software
Windows

PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-clear-key-extraction-in-software