Gerar chaves assimétricas usando a CLI do CloudHSM - AWS CloudHSM
Gerar uma chave RSA

Gerar chaves assimétricas usando a CLI do CloudHSM

Use os comandos listados em A categoria generate-asymmetric-pair na CLI do CloudHSM para gerar pares de chaves assimétricas para clusters do AWS CloudHSM.

Gerar uma chave RSA

Use o comando key generate-asymmetric-pair rsa para gerar um par de chaves RSA. Para consultar todas as opções disponíveis, use o comando help key generate-asymmetric-pair rsa.

O exemplo a seguir gera um par de chaves RSA de 2048 bits.

aws-cloudhsm > key generate-asymmetric-pair rsa \
    --public-exponent 65537 \
    --modulus-size-bits 2048 \
    --public-label rsa-public-example \
    --private-label rsa-private-example

Argumentos

<PUBLIC_LABEL>

Especifica um rótulo definido pelo usuário para a chave pública.

Obrigatório: sim

<PRIVATE_LABEL>

Especifica o rótulo da chave privada definida pelo usuário.

Obrigatório: sim

<MODULUS_SIZE_BITS>

Especifica o comprimento do módulo em bits. O valor mínimo é 2048.

Obrigatório: sim

<PUBLIC_EXPONENT>

Especifica o expoente público. O valor deve ser um número ímpar maior que ou igual a 65537.

Obrigatório: sim

<PUBLIC_KEY_ATTRIBUTES>

Especifica uma lista separada por espaços dos atributos de chave a serem definidos para a chave pública RSA na forma de KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (por exemplo, sign=true).

Para obter uma lista dos atributos de chave compatíveis com AWS CloudHSM, consulte Atributos de chave da CloudHSM CLI.

Obrigatório: não

<SESSION>

Cria uma chave que existe apenas na sessão atual. A chave não pode ser recuperada após o término da sessão. Use esse parâmetro quando precisar de uma chave apenas brevemente, como uma chave de empacotamento que criptografa e, em seguida, descriptografa rapidamente outra chave. Não use uma chave de sessão para criptografar dados que você talvez precise descriptografar após o término da sessão.

Para transformar uma chave de sessão em uma chave persistente (token), use key set-attribute.

Por padrão, quando as chaves são geradas, elas são chaves persistentes/token. Usar <SESSION> muda isso, garantindo que uma chave gerada com esse argumento seja uma sessão/efêmera

Obrigatório: não

Gerar pares de chaves EC (protocolo de criptografia de curva elíptica)

Use o comando key generate-asymmetric-pair ec para gerar um par de chaves EC. Para consultar todas as opções disponíveis, incluindo uma lista das curvas elípticas suportadas, use o comando help key generate-asymmetric-pair ec.

O exemplo a seguir gera um par de chaves ECC usando a curva elíptica Secp384r1.

aws-cloudhsm > key generate-asymmetric-pair ec \
    --curve secp384r1 \
    --public-label ec-public-example \
    --private-label ec-private-example

Argumentos

<PUBLIC_LABEL>

Especifica um rótulo definido pelo usuário para a chave pública. O tamanho máximo permitido para label é de 127 caracteres no Client SDK 5.11 e versões posteriores. O Client SDK 5.10 e versões anteriores têm um limite de 126 caracteres.

Obrigatório: sim

<PRIVATE_LABEL>

Especifica o rótulo da chave privada definida pelo usuário. O tamanho máximo permitido para label é de 127 caracteres no Client SDK 5.11 e versões posteriores. O Client SDK 5.10 e versões anteriores têm um limite de 126 caracteres.

Obrigatório: sim

<CURVE>

Especifica o identificador da curva elíptica.

Valores válidos:

  • prime256v1

  • secp256r1

  • secp224r1

  • secp384r1

  • secp256k1

  • secp521r1

Obrigatório: sim

<PUBLIC_KEY_ATTRIBUTES>

Especifica uma lista separada por espaços dos principais atributos a serem definidos para a chave pública EC gerada na forma de KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (por exemplo, verify=true).

Para obter uma lista dos atributos de chave compatíveis com AWS CloudHSM, consulte Atributos de chave da CloudHSM CLI.

Obrigatório: não

<PRIVATE_KEY_ATTRIBUTES>

Especifica uma lista separada por espaços dos principais atributos a serem definidos para a chave privada EC gerada na forma de KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (por exemplo, sign=true).

Para obter uma lista dos atributos de chave compatíveis com AWS CloudHSM, consulte Atributos de chave da CloudHSM CLI.

Obrigatório: não

<SESSION>

Cria uma chave que existe apenas na sessão atual. A chave não pode ser recuperada após o término da sessão. Use esse parâmetro quando precisar de uma chave apenas brevemente, como uma chave de empacotamento que criptografa e, em seguida, descriptografa rapidamente outra chave. Não use uma chave de sessão para criptografar dados que você talvez precise descriptografar após o término da sessão.

Para transformar uma chave de sessão em uma chave persistente (token), use key set-attribute.

Por padrão, as chaves geradas são chaves persistentes (tokens). Passar <SESSION> muda isso, garantindo que uma chave gerada com esse argumento seja uma chave de sessão (efêmera).

Obrigatório: não