AWS CloudHSM クライアント SDK 3 でサポートされているクライアント SDK 3 のメカニズム - AWS CloudHSM
サポートされるキーサポートされる暗号サポートされているダイジェストサポートされている Hash-based Message Authentication Code (HMAC) アルゴリズムサポートされている署名/検証メカニズムメカニズムの注釈

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudHSM クライアント SDK 3 でサポートされているクライアント SDK 3 のメカニズム

このトピックでは、 AWS CloudHSM クライアント SDK 3 で JCE プロバイダーでサポートされているメカニズムについて説明します。でサポートされている Java 暗号化アーキテクチャ (JCA) インターフェイスとエンジンクラスについては AWS CloudHSM、以下のトピックを参照してください。

サポートされるキー

Java 用の AWS CloudHSM ソフトウェアライブラリでは、次のキータイプを生成できます。

  • AES – 128、192、256 ビットの AES キー。

  • DESede — 92 ビット 3DES キー。今後の変更については、以下の注記「1」を参照してください。

  • NIST 曲線 secp256r1 (P-256)、secp384r1 (P-384)、および secp256k1 (ブロックチェーン) を対象とした ECC キーペア。

  • RSA – 2048~4096 ビットの RSA キー (256 ビットの増分)。

標準のパラメータに加えて、生成されるキーごとに以下のパラメータがサポートされています。

  • Label: キーの検索に使用できるキーラベル。

  • isExtractable: キーを HSM からエクスポートできるかどうかを示します。

  • isPersistent: 現在のセッションの終了後、キーが HSM に残るかどうかを示します。

注記

Java ライブラリバージョン 3.1 では、パラメータをより詳細に指定することができます。詳細については、「サポートされている Java 属性」を参照してください。

サポートされる暗号

Java 用の AWS CloudHSM ソフトウェアライブラリは、次のアルゴリズム、モード、パディングの組み合わせをサポートしています。

アルゴリズム モード [Padding] (パディング) メモ
AES CBC

AES/CBC/NoPadding

AES/CBC/PKCS5Padding

Cipher.ENCRYPT_MODE および Cipher.DECRYPT_MODE を実装します。
AES ECB

AES/ECB/NoPadding

AES/ECB/PKCS5Padding

 Cipher.ENCRYPT_MODE および Cipher.DECRYPT_MODE を実装します。AES 変換 を使用します。
AES CTR

AES/CTR/NoPadding

Cipher.ENCRYPT_MODE および Cipher.DECRYPT_MODE を実装します。
AES GCM AES/GCM/NoPadding

Cipher.ENCRYPT_MODE および Cipher.DECRYPT_MODECipher.WRAP_MODE および Cipher.UNWRAP_MODE を実装します。

AES-GCM 暗号化の実行時に、HSM はリクエスト内の初期化ベクトル (IV) を無視し、独自に IV を生成して使用します。オペレーションが完了したら、Cipher.getIV() を呼び出して IV を取得する必要があります。
AESWrap ECB

AESWrap/ECB/ZeroPadding

AESWrap/ECB/NoPadding

AESWrap/ECB/PKCS5Padding

Cipher.WRAP_MODE および Cipher.UNWRAP_MODE を実装します。AES 変換 を使用します。
DESede (Triple DES) CBC

DESede/CBC/NoPadding

DESede/CBC/PKCS5Padding

Cipher.ENCRYPT_MODE および Cipher.DECRYPT_MODE を実装します。

キー生成ルーチンは 168 ビットまたは 192 ビットのサイズを受け入れます。ただし、内部的に、すべての DESede キーは 192 ビットです。

今後の変更については、以下の注記「1」を参照してください。
DESede (Triple DES) ECB

DESede/ECB/NoPadding

DESede/ECB/PKCS5Padding

Cipher.ENCRYPT_MODE および Cipher.DECRYPT_MODE を実装します。

キー生成ルーチンは 168 ビットまたは 192 ビットのサイズを受け入れます。ただし、内部的に、すべての DESede キーは 192 ビットです。

今後の変更については、以下の注記「1」を参照してください。
RSA ECB

RSA/ECB/NoPadding

RSA/ECB/PKCS1Padding

Cipher.ENCRYPT_MODE および Cipher.DECRYPT_MODE を実装します。

今後の変更については、以下の注記「1」を参照してください。
RSA ECB

RSA/ECB/OAEPPadding

RSA/ECB/OAEPWithSHA-1ANDMGF1Padding

RSA/ECB/OAEPWithSHA-224ANDMGF1Padding

RSA/ECB/OAEPWithSHA-256ANDMGF1Padding

RSA/ECB/OAEPWithSHA-384ANDMGF1Padding

RSA/ECB/OAEPWithSHA-512ANDMGF1Padding

Cipher.ENCRYPT_MODECipher.DECRYPT_MODECipher.WRAP_MODE、および Cipher.UNWRAP_MODE を実装します。

OAEPPadding は、SHA-1 パディングタイプの OAEP です。
RSAAESWrap ECB OAEPPADDING Cipher.WRAP_Mode および Cipher.UNWRAP_MODE を実装します。

サポートされているダイジェスト

Java 用の AWS CloudHSM ソフトウェアライブラリは、次のメッセージダイジェストをサポートしています。

  • SHA-1

  • SHA-224

  • SHA-256

  • SHA-384

  • SHA-512

注記

16 KB 未満のデータは HSM でハッシュされ、それ以上のデータはソフトウェアでローカルにハッシュされます。

サポートされている Hash-based Message Authentication Code (HMAC) アルゴリズム

Java 用の AWS CloudHSM ソフトウェアライブラリは、次の HMAC アルゴリズムをサポートしています。

  • HmacSHA1

  • HmacSHA224

  • HmacSHA256

  • HmacSHA384

  • HmacSHA512

サポートされている署名/検証メカニズム

Java 用 AWS CloudHSM ソフトウェアライブラリは、次のタイプの署名と検証をサポートしています。

RSA 署名タイプ

  • NONEwithRSA

  • SHA1withRSA

  • SHA224withRSA

  • SHA256withRSA

  • SHA384withRSA

  • SHA512withRSA

  • SHA1withRSA/PSS

  • SHA224withRSA/PSS

  • SHA256withRSA/PSS

  • SHA384withRSA/PSS

  • SHA512withRSA/PSS

ECDSA 署名タイプ

  • NONEwithECDSA

  • SHA1withECDSA

  • SHA224withECDSA

  • SHA256withECDSA

  • SHA384withECDSA

  • SHA512withECDSA

メカニズムの注釈

[1] NIST ガイダンスに従い、2023 年以降の FIPS モードのクラスターでは、これは許可されません。FIPS 以外のモードのクラスターでは、2023 年以降も許可されます。詳細については、「FIPS 140 コンプライアンス: 2024 年 メカニズムの非推奨」を参照してください。