View a markdown version of this page

JCE 공급자가에서 프라이빗 키 보안 암호를 추출하도록 허용 AWS CloudHSM - AWS CloudHSM

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

JCE 공급자가에서 프라이빗 키 보안 암호를 추출하도록 허용 AWS CloudHSM

다음 단계를 사용하여 AWS CloudHSM JCE 공급자가 프라이빗 키 보안 암호를 추출하도록 허용합니다.

중요

이 구성 변경을 통해 HSM 클러스터에서 모든 EXTRACTABLE 키 바이트를 안전하게 추출할 수 있습니다. 보안을 강화하려면 키 래핑 방법을 사용하여 HSM에서 키를 안전하게 추출하는 것을 고려해야 합니다. 이렇게 하면 HSM에서 실수로 키 바이트를 추출하는 것을 방지할 수 있습니다.

  1. 다음 명령을 사용하여 프라이빗 또는 비밀 키를 JCE에서 추출할 수 있도록 하세요.

    Linux
    
$ /opt/cloudhsm/bin/configure-jce --enable-clear-key-extraction-in-software
    Windows
    
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --enable-clear-key-extraction-in-software

  2. 지우기 키 추출을 활성화하면 다음과 같은 방법으로 프라이빗 키를 메모리로 추출할 수 있습니다.

    Class 메서드 형식(GETEncoded)
    Key(키) getEncoded() RAW
    ECPrivateKey getEncoded() PKCS #8
    GET () 해당 사항 없음
    RSAPrivateCrtKey getEncoded() X.509
    getPrivateExponent() 해당 사항 없음
    getPrimeP() 해당 사항 없음
    getPrimeQ() 해당 사항 없음
    getPrimeExponentP() 해당 사항 없음
    getPrimeExponentQ() 해당 사항 없음
    getCrtCoefficient() 해당 사항 없음

기본 동작을 복원하고 JCE가 키를 정상적으로 내보내지 못하도록 하려면 다음 명령을 실행하십시오.

Linux

$ /opt/cloudhsm/bin/configure-jce --disable-clear-key-extraction-in-software
Windows

PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-clear-key-extraction-in-software