Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O HSM de Nuvem do Azure dá suporte a vários algoritmos criptográficos. Somente os algoritmos, modos/métodos e comprimentos de chave/curvas/moduli compatíveis com seus módulos de segurança de hardware são listados neste artigo.
Para obter uma visão geral do serviço, consulte Visão geral do HSM de Nuvem do Azure. Para obter o gerenciamento de chaves, consulte o gerenciamento de chaves no HSM de Nuvem do Azure. Para autenticação, consulte Autenticação no Azure Cloud HSM.
O HSM de Nuvem do Azure compatível com algoritmos dá suporte a vários algoritmos criptográficos. Somente os algoritmos, modos/métodos e comprimentos de chave/curvas/moduli compatíveis com seus módulos de segurança de hardware são listados nas tabelas a seguir.
Algoritmos não FIPS com suporte
O HSM de Nuvem do Azure e seus módulos de segurança de hardware dão suporte aos seguintes algoritmos não aprovados pelo FIPS.
| Algorithm | Usar/Função |
|---|---|
| AES (não compatível) | Encapsulamento de chave (TR31/TR34/AES-CBC/AES-GCM, wrap/unwrap), DecimalTable/Data/PIN Encryption/Decryption. FF1/FF3-1 Criptografia/Descriptografia de Dados • O AES GCM dá suporte ao comprimento IV de 1 byte a 16 bytes |
| DES | Derivar chave exclusiva por transação (DUKPT), derivação de chave EMV, Derivar PIN de Deslocamento, Derivar Deslocamento de PIN, Verificação de PIN, Geração de PVV e Verificação, geração e verificação cvv, exportar chave simétrica/exportar par de chaves assimétricas usando encapsulamento TR31, Importação/exportação usando TR34, importar script EMV de tabela decimal, EMV ARQC/ARPC, criptografia de dados/PIN/descriptografia |
| DES MAC | Geração e verificação do MAC |
| Double-DES | Derivar chave exclusiva por transação (DUKPT), derivação de chave EMV, Derivar PIN de Deslocamento, Derivar Deslocamento de PIN, Verificação de PIN, Geração de PVV e Verificação, geração e verificação cvv, exportar chave simétrica/exportar par de chaves assimétricas usando encapsulamento TR31, Importação/Exportação usando TR34, Importar Tabela Decimal, script EMV, EMV ARQC/ARPC, criptografia/descriptografia de Dados/PIN |
| EC-AES | EC-AES wrap/unwrap (EC BYOK) |
| ECDH KDF | Derivação de chave usando ECDH seguido por KDF de contador HMAC/CMAC |
| ECDSA (não compatível) | Geração de chave, assinar, verificar P192, Secp192k1, brainpoolP160r1, brainpool192r1, K-163 e B-163 (SHA-1, SHA-224, SHA-256, SHA-384, SHA-512) |
| EDDSA (não compatível) | Geração de chave, assinar, verificar |
| KAS-ECC (não compatível) | Geração de chave EC e ECDH Curve25519 (128 bits), Curve448 (224 bits) |
| PBE | Geração de chave |
| RSA (não compatível) | Importação tr34, exportação tr34, descriptografia de bloco pin, BYOK, Criptografar/Descriptografar, encapsulamento de chave assimétrica e desencapsulação usando pkcs#1-v1.5 preenchimento com tamanho de módulo 2048 bits, 3072 bits e 4096 bits, Geração de chave, Sinal, Verificar (1024 bits) |
| Compartilhamento de chave do Shamir | Compartilhamento de chaves |
| Triple-DES (não compatível) | Derivar chave exclusiva por transação (DUKPT), derivação de chave EMV, Derivar PIN de Deslocamento, Derivar Deslocamento de PIN, Verificação de PIN, Geração e verificação do PVV, geração e verificação cvv, exportar chave simétrica/exportar par de chaves assimétricas usando encapsulamento TR31, Importação/Exportação usando TR34, Importar Tabela Decimal, script EMV, EMV ARQC/ARPC, criptografia/descriptografia de Dados/PIN |
Algoritmos não FIPS com limitações
| Algorithm | Advertência | Usar/Função |
|---|---|---|
| AES | Certificado A1947, Desembrulhamento de chave. Por IG D.G. | Somente desembrulhamento de chave herdada • Modo ECB: Descriptografar; 128, 192 e 256 bits • Modo CBC: Descriptografar; 128, 192 e 256 bits |
| AES | Certificado A1948, Desembrulhamento de chave. Por IG D.G | Somente desembrulhamento de chave herdada • Modo ECB: Descriptografar; 128, 192 e 256 bits • Modo CBC: Descriptografar; 128, 192 e 256 bits |
| EC Diffie-Hellman com curvas não NIST recomendadas | Cert A1947, Fornece entre 112 bits e 256 bits de força de criptografia. Por IGs D.F e C.A. | EC-DH Secp224k1(112 bits), Secp256K1 (128 bits) brainpoolP224r1(112 bits), brainpoolP256r1(128 bits), brainpoolP320r1(160 bits), brainpoolP384r1(192 bits), brainpoolP512r1(256 bits) FRP256v1 (128 bits) • Curva de ordem principal, gerada de acordo com a SEÇÃO FIPS 186-4 6.1.1 (SHA-1*, SHA2-224, SHA2-256, SHA2-384, SHA2-512) |
| ECDSA com curvas não NIST recomendadas | Cert A1947, Fornece entre 112 bits e 256 bits de força de criptografia. Por IG C.A. | Geração de chave EC, sinal Secp256K1 (128 bits) brainpoolP224r1(112 bits), brainpoolP256r1(128 bits), brainpoolP320r1(160 bits), brainpoolP384r1(192 bits), brainpoolP512r1(256 bits) FRP256v1 (128 bits) • Curva de ordem principal, gerada de acordo com a SEÇÃO FIPS 186-4 6.1.1 (SHA-1*, SHA2-224, SHA2-256, SHA2-384, SHA2-512) |
| SHA-1 | Nenhuma segurança reivindicada por IG 2.4.A | Impressões digitais |
| Triple-DES SP 800-38B | Nenhuma segurança reivindicada por IG 2.4.A | Impressões digitais Tamanhos de chave • 192 bits (Geração, Verificação) |
Algoritmos aprovados pelo NIST FIPS com suporte
O HSM de Nuvem do Azure e seus módulos de segurança de hardware dão suporte aos seguintes algoritmos aprovados pelo NIST FIPS.
Observação importante: todos os tamanhos de chave simétrica representam a força da chave.
| Certificado CAVP | Algoritmo e Padrão | Modo/Método | Descrição/ Tamanho da Chave/Força(s) da Chave | Usar/Função |
|---|---|---|---|---|
| A1946 | RSA SigVer (FIPS186-4) | RSA SigVer (FIPS186-4) | RSA 2048 com SHA2-256 Usa SHA2-256 (FIPS 180-4) (#A1946) como o algoritmo digest subjacente |
Verificação de integridade do firmware por U-boot |
| A1946 | SHA2-256 (FIPS 180-4) | SHA2 | SHA 256 | Verificação de integridade do firmware por U-boot |
| A1947 | AES-CBC (SP 800-38A) | AES | Criptografar/Descriptografar: 128, 192 e 256 bits | Criptografia de dados, descriptografia, quebra-chave e unwrap de chave |
| A1947 | AES-CCM (SP 800-38C) | AES | Criptografar/Descriptografar: 128, 192 e 256 bits Usa AES-ECB (SP 800-38A) (#A1947) como a criptografia de bloco subjacente |
Criptografia de dados autenticada, descriptografia |
| A1947 | AES-CMAC (SP 800-38B) | AES | CMAC gera e verifica: 128, 192 e 256 bits Usa AES-CBC (SP 800-38A) (#A1947) como a criptografia de bloco subjacente |
Geração e verificação de código de autenticação de mensagem |
| A1947 | AES-CTR (SP 800-38A) | AES | Criptografar/Descriptografar: 128, 192 e 256 bits Usa AES-ECB (SP 800-38A) (#A1947) como a criptografia de bloco subjacente |
Criptografia de dados, descriptografia |
| A1947 | AES-ECB (SP 800-38A) | AES | Criptografar/Descriptografar: 128, 192 e 256 bits | Criptografia de dados, descriptografia, quebra-chave e unwrap de chave |
| A1947 | AES-GCM (SP 800-38D) | AES | Criptografar/Descriptografar: 128, 192 e 256 bits Usa AES-ECB (SP 800-38A) (#A1947) como a criptografia de bloco subjacente |
Criptografia de dados autenticada, descriptografia, quebra de chave e desencapsificação de chave |
| A1947 | AES-GMAC (SP 800-38D) | AES | Geração GMAC: 128, 192 e 256 bits Usa AES-ECB (SP 800-38A) (#A1947) como a criptografia de bloco subjacente |
Autenticação de Mensagem |
| A1947 | ECDSA SigGen (FIPS186-4) (CVL) | ECDSA SigGen (FIPS186-4) | Componente SigGen: P-224, P-256, P-384, P-521 (SHA-256, 384 e 512) Usa o DRBG de Hash (SP 800-90Ar1) (#A1947) como gerador aleatório subjacente Curvas P-224, P-256, P-384 e P-521 fornecendo 112, 128, 192 ou 256 bits de força de criptografia, respectivamente |
Geração de assinatura |
| A1947 | Hash DRBG (SP 800-90Ar1) | Hash DRBG | SHA-512 baseado com força de segurança de 256 bits. Nenhuma resistência à previsão Usa SHA2-512 (#A1947) como o algoritmo de resumo subjacente |
Geração de número aleatório para usuário, IVs internas e sal |
| A1947 | HMAC-SHA2-256 (FIPS 198-1) | HMAC | HMAC-SHA2-256 Usa SHA2-256 (#A1947) como o algoritmo de resumo subjacente |
Geração, verificação, KAS e KDF do MAC |
| A1947 | HMAC-SHA2-384 (FIPS 198-1) | HMAC | HMAC-SHA2-384 Usa SHA2-384 (#A1947) como o algoritmo de resumo subjacente |
Geração, verificação, KAS e KDF do MAC |
| A1947 | HMAC-SHA2-512 (FIPS 198-1) | HMAC | HMAC-SHA2-512 Usa SHA2-512 (#A1947) como o algoritmo de resumo subjacente |
Geração, verificação, KAS e KDF do MAC |
| A1947 | KAS-ECC-SSC SP800-56Ar3 | KAŞ | ECC CDH staticUnified: P-224, P-256, P-384, P-521, P-224, P-256, P384 e P-521 fornecendo 112 bits, 128 bits. 192 bits e 256 bits de força de criptografia, respectivamente Usa o DRBG de Hash (SP800-90Ar1) (#A1947) como gerador aleatório subjacente para o par de chaves ECDSA KeyGen Usa o ECDSA KeyVer (FIPS 186-4) (#A1948) e o ECDSA KeyGen (FIPS 186-4) (#A2393) verificação subjacente para o par de chaves Usa SHA2-256 (FIPS 180-4) (#A1947), SHA2-384 (FIPS 180-4) (#A1947) e SHA2-512 (FIPS 180-4) (#A1947) como algoritmo digest subjacente |
Computação secreta compartilhada |
| A1947 | KDF TLS (CVL) (SP 800-135r1) | KDF TLS | TLS-KDF (v1.2) v1.2: SHA2-256, SHA2-384, SHA2-512 Usa HMAC-SHA2-256 (FIPS 180-4) (#A1947), HMAC-SHA2-384 (FIPS 180-4) (#A1947) e HMAC-SHA2-512 (FIPS 180-4) (#A1947) como algoritmo MAC subjacente |
Handshake do TLS |
| A1947 | Primitivo de Descriptografia RSA (SP 800-56Br2) (CVL) | Primitivo de Descriptografia RSA | 2048 bits, 3072 bits e 4096 bits Módulos de 2048, 3072 e 4096 bits, fornecendo 112, 128 e 150 bits de força de criptografia, respectivamente. |
Primitivo de descriptografia |
| A1947 | RSA Signature Primitive (CVL) (FIPS 186-4) | RSA Signature Primitive | 2048 bits, 3072 bits e 4096 bits Módulos de 2048, 3072 e 4096 bits, fornecendo 112, 128 e 150 bits de força de criptografia, respectivamente. |
Primitivo de assinatura |
| A1947 | SHA-1 (FIPS 180-4) | SHA-1 | SHA-1 | Resumo da mensagem |
| A1947 | SHA2-256 (FIPS 180-4) | SHA2 | SHA2-256 | Resumo da mensagem |
| A1947 | SHA2-384 (FIPS 180-4) | SHA2 | SHA2-384 | Resumo da mensagem |
| A1947 | SHA2-512 (FIPS 180-4) | SHA2 | SHA2-512 | Resumo da mensagem |
| A1947 | SHA3-224 (FIPS 202) | SHA3 | SHA3-224 | Resumo da mensagem |
| A1947 | SHA3-256 (FIPS 202) | SHA3 | SHA3-256 | Resumo da mensagem |
| A1947 | SHA3-384 (FIPS 202) | SHA3 | SHA3-384 | Resumo da mensagem |
| A1947 | SHA3-512 (FIPS 202) | SHA3 | SHA3-512 | Resumo da mensagem |
| A1947 | SHAKE-128 (FIPS 202) | SHAKE-128 | SHAKE-128 | Resumo da mensagem |
| A1947 | SHAKE-256 (FIPS 202) | SHAKE-256 | SHAKE-256 | Resumo da mensagem |
| A1947 | TDES-CBC (SP 800-38A) | TDES | Descriptografar Triple-DES de 3 chaves (dá suporte apenas ao tamanho de 192 bits) Somente uso herdado |
Descriptografia de dados |
| A1947 | TDES-ECB (SP 800-38A) | TDES | Descriptografar Triple-DES de 3 chaves (dá suporte apenas ao tamanho de 192 bits) Somente uso herdado |
Descriptografia de dados |
| A1948 | AES-CBC (SP 800-38A) | AES | Criptografar/descriptografar, 128 e 256 bits | Criptografia de dados, descriptografia e desencapsificação de chave |
| A1948 | AES-CMAC (SP 800-38B) | AES | CMAC gera e verifica: 128, 192 e 256 bits Usa AES-CBC (SP 800-38A) (#A1948) como a criptografia de bloco subjacente |
Geração e verificação do MAC |
| A1948 | AES-GCM (KTS) (SP800-38D) | SP 800-38D e SP 800-38F. KTS (encapsulamento de chave e desembrulhamento) por IG D.G. | Chaves de 128, 192 e 256 bits que fornecem 128, 192 ou 256 bits de força de criptografia | Criptografia de dados, descriptografia, quebra-chave e unwrap de chave |
| A1948 | AES-GCM (SP 800-38D) | AES | Modo GCM: criptografado/descriptografado autenticado; 128, 192 e 256 bits Usa AES-CBC (SP 800-38A) (#A1948) como a criptografia de bloco subjacente |
Criptografia e descriptografia de dados autenticadas, desencapsificação de chave |
| A1948 | AES-KW (KTS) (SP 800-38F) | SP 800-38F. KTS (encapsulamento de chave e desembrulhamento) por IG D.G. | Chaves de 128, 192 e 256 bits que fornecem 128 bits, 192 bits ou 256 bits de força de criptografia | Encapsulamento/desembrulhamento de chave |
| A1948 | AES-KW (SP 800-38F) | AES | KW, 128, 192 e 256 bits Usa AES-CBC (#A1948) como criptografia de bloco subjacente |
Encapsulamento/desembrulhamento de chave |
| A1948 | AES-KWP (KTS) (SP 800-38F) | SP 800-38F. KTS (encapsulamento de chave e desembrulhamento) por IG D.G. | Chaves de 128, 192 e 256 bits que fornecem 128 bits, 192 bits ou 256 bits de força de criptografia | Encapsulamento/desembrulhamento de chave |
| A1948 | AES-KWP (SP 800-38F) | AES | KWP, 128, 192 e 256 bits Usa AES-CBC (#A1948) como criptografia de bloco subjacente |
Encapsulamento/desembrulhamento de chave |
| A1948 | Contador DRBG (SP 800-90Ar1) | Drbg de contador | AES 256 com df Nenhuma resistência à previsão Usa AES-CBC (SP 800-38A) (#A1948) como a criptografia de bloco subjacente |
Geração de número aleatório para usuário, IVs internas e sal |
| A1948 | ECDSA KeyGen (FIPS186-4) | Geração de Chave | Key Gen: P-224, P-256, P-384, P-521 Usa o CONTADOR DRBG (SP800-90Ar1) (#A1948) como gerador aleatório subjacente |
Geração de chave |
| A1948 | ECDSA KeyVer (FIPS186-4) | ECDSA KeyVer (FIPS186-4) | Key Ver; P-224, P-256, P-384 e P-521 | Verificação de chave |
| A1948 | ECDSA SigGen (FIPS186-4) | ECDSA SigGen (FIPS186-4) | Geração de assinatura: P-224, P-256, P-384, P-521 (SHA2-256, SHA2-384, SHA2-512) Usa o DRBG de Hash (SP800-90Ar1) (#A1947) como gerador aleatório subjacente Usa SHA2-256 (FIPS 180-4) (#A1948), SHA2-384 (FIPS 180-4) (#A1948) e SHA2-512 (FIPS 180-4) (#A1948) como algoritmo digest subjacente |
Geração de assinatura |
| A1948 | ECDSA SigVer (FIPS186-4) | ECDSA SigVer(FIPS186-4) | Verificação de assinatura: P-224, P-256, P-384, P-521 (SHA-1, SHA2-256, SHA2-384 e SHA2-512) Usa SHA-1 (FIPS 180-4) (#A1948), SHA2-256 (FIPS 180-4) (#A1948) e SHA2-384 (FIPS 180-4) (#A1948) e SHA2-512 (FIPS 180-4) (#A1948) como algoritmo de resumo subjacente |
Verificação de assinatura |
| A1948 | HMAC-SHA-1 (FIPS 198-1) | HMAC | HMAC-SHA-1 Usa SHA-1 (FIPS 180-4) (#A1948) como algoritmo de resumo subjacente |
Geração de MAC, Verificação e KDF |
| A1948 | HMAC-SHA2-256 (FIPS 198-1) | HMAC | HMAC-SHA2-256 Usa SHA2-256 (FIPS 180-4) (#A1948) como algoritmo de resumo subjacente |
Geração, verificação, KAS e KDF do MAC |
| A1948 | HMAC-SHA2-384 (FIPS 198-1) | HMAC | HMAC-SHA2-384 Usa SHA2-384 (FIPS 180-4) (#A1948) como algoritmo de resumo subjacente |
Geração, verificação, KAS e KDF do MAC |
| A1948 | HMAC-SHA2-512 (FIPS 198-1) | HMAC | HMAC-SHA2-512 Usa SHA2-512((FIPS 180-4) (#A1948) como algoritmo digest subjacente |
Geração, verificação, KAS e KDF do MAC |
| A1948 | KAS-ECC (KAS) (SP 800-56Ar3) | SP 800-56Arev3. KAS-ECC por IG D.F Cenário 2 (2). | Curva P-521 fornecendo 256 bits de força de criptografia | Protocolo de clonagem |
| A1948 | KAS-ECC SP800-56Ar3 | KAŞ | ECC CDH Efêmero Unificado P-521 com OneStep KDF (HMAC-SHA2-512) Usa o DRBG do Contador (#A1948) como número aleatório subjacente Usa ECDSA KeyGen (FIPS186-4) (#A1948) como keygen ECC subjacente e ECDSA KeyVer (#A1948) como algoritmo de verificação de chave ECDSA subjacente. Usa SHA2-512 (FIPS 180-4) como algoritmo de resumo subjacente |
Protocolo de clonagem |
| A1948 | KAS-ECC-SSC SP800-56Ar3 | KAŞ | ECC CDH Estático Unificado: P-224, P-256, P384, P-521, B-233, B-283, B-409, B-571, K-233, K-283, K-409, K-571 P-224, P-256, P384 e P-521 fornecendo 112 bits, 128 bits. 192 bits e 256 bits de força de criptografia, respectivamente Usa o Contador DRBG (SP800-90Ar1) (#A1948) como gerador aleatório subjacente para o par de chaves ECDSA KeyGen Usa o ECDSA KeyVer (FIPS 186-4) (#A1948) e o ECDSA KeyGen (FIPS 186-4) (#A1948) verificação e geração subjacentes para o par de chaves Usa SHA2-256 (FIPS 180-4) (#A1948), SHA2-384 (FIPS 180-4) (#A1948), SHA2-512(FIPS 180-4) (#A1948) como o algoritmo digest subjacente |
Computação secreta compartilhada |
| A1948 | KAS-IFC-SSC (SP 800-56Br2) | KAŞ | Esquema de troca de chaves baseado em RSA KAS1 e KAS2 RSA 2048, 3072 e 4096 bits Módulo 2048, 3072 e 4096 bits, fornecendo 112, 128 e 150 bits de força de criptografia, respectivamente Usa o Contador DRBG (SP800-90Ar1) (#A1948) como gerador aleatório subjacente para a geração de par de chaves RSA Usa HMAC-SHA2-256 (#A1948), HMAC-SHA2-384 (#A1948) e HMAC-SHA2-512 (#A1948) como algoritmo MAC subjacente Usa o RSA KeyGen (FIPS 186-4) [#A1948] como algoritmo de geração de chave RSA subjacente |
Geração de PEK e KLK e autenticação de certificado |
| A1948 | KDA HKDF SP800-56Cr1 | KDA HKDF SP800-56Cr1 | HKDF Usa o CONTADOR DRBG (SP800-90Ar1) (#A1948) como gerador aleatório subjacente Usa HMAC-SHA2-256 (#A1948), HMAC-SHA2-384 (#A1948) e HMAC-SHA2-512 (#A1948) como algoritmo MAC subjacente |
Derivação de chave ECDH e quebra de chave ECDH |
| A1948 | KDA OneStep SP800-56Cr1 | KDA OneStep SP800-56Cr1 | KDF baseado em hash Usa o CONTADOR DRBG (SP800-90Ar1) (#A1948) como gerador aleatório subjacente Usa HMAC-SHA2-256 (#A1948), HMAC-SHA2-384 (#A1948) e HMAC-SHA2-512 (#A1948) como algoritmo MAC subjacente |
Derivação de chave ECDH e quebra de chave ECDH |
| A1948 | KDA TwoStep SP800-56Cr1 | KDA TwoStep SP800-56Cr1 | KDFs de extração e expansão baseados em HMAC/CMAC Usa o CONTADOR DRBG (SP800-90Ar1) (#A1948) como gerador aleatório subjacente Usa HMAC-SHA2-256 (#A1948), HMAC-SHA2-384 (#A1948) e HMAC-SHA2-512 (#A1948) como algoritmo MAC subjacente Usa AES-CBC (#A1948) como criptografia de bloco subjacente para AES-CMAC |
Derivação de chave ECDH e quebra de chave ECDH |
| A1948 | KDF ANS 9.63 (CVL) (SP 800-135r1) | KDF ANS 9.63 | SHA-2 224, 256, 384 e 512 Usa SHA2-256 (#A1948), SHA2-384 (#A1948) e SHA2-512 (#A1948) como algoritmo de resumo subjacente |
Principais esquemas de derivação e contrato de chave |
| A1948 | KDF SP800-108 | KDF SP800-108 | HMAC-SHA-1, SHA2-224, SHA2-256, 384 e 512 KDF Usa HMAC-SHA-1 (#A1948), HMAC-SHA2-256 (#A1948), HMAC-SHA2-384 (#A1948) e HMAC-SHA2-512 (#A1948) como algoritmo MAC subjacente |
Derivação de chave |
| A1948 | KTS-IFC (KTS) (SP 800-56Br2) | SP 800-56Brev2. KTS-IFC (encapsulamento de chave e desconcapsulação) por IG D.G. | Módulo 2048, 3072 ou 4096 bits fornecendo 112, 128 ou 150 bits de força de criptografia | Encapsulamento e desaconsulação de chave assimétrica |
| A1948 | KTS-IFC (SP 800-56Br2) | KTS | KTS-OAEP-basic RSA 2048, 3072 e 4096 bits Usa o contador DRBG (SP800-90Ar1) (#A1948) como gerador aleatório subjacente Usa HMAC-SHA2-256 (FIPS 180-4) (#A1948), HMAC-SHA2-384 (FIPS 180-4) (#A1948), HMAC-SHA2-512 (FIPS 180-4) (#A1948) como algoritmo digest subjacente Usa o RSA KeyGen (FIPS 186-4) (#A1948) como algoritmo de geração de chave subjacente |
Encapsulamento e desaconsulação de chave assimétrica |
| A1948 | PBKDF (SP 800-132) | PBKDF | HMAC com SHA-1, SHA-2 256, 384 e 512 Usa HMAC-SHA-1 (#A1948), HMAC-SHA2-256 (#A1948), HMAC-SHA2-384 (#A1948) e HMAC-SHA2-512 (#A1948) como algoritmo MAC subjacente |
Armazenamento de credenciais do usuário. A chave mestra derivada do PBKDF não é usada para derivar chaves para criptografia/proteção de dados, mas usada apenas para armazenar senhas como hashes. |
| A1948 | Primitivo de Descriptografia RSA (SP 800-56Br2) (CVL) | Primitivo de Descriptografia RSA | Tamanhos de módulo: 2048, 3072 e 4096 bits | Transporte de chave RSA |
| A1948 | RSA KeyGen (FIPS186-4) | RSA KeyGen (FIPS186-4) | Geração de chaves: 2048, 3072 e 4096 bits Usa o CONTADOR DRBG (SP800-90Ar1) (#A1948) como gerador aleatório subjacente |
Geração de chave RSA |
| A1948 | RSA SigGen (FIPS186-4) | RSA SigGen (FIPS186-4) | FIPS 186-4 PKCS #1 1.5 e PSS Sig Gen: 2048, 3096 e 4096 bits (SHA-2 256, 384 e 512) Usa SHA2-256 (FIPS 180-4) (#A1948), SHA2-384 (FIPS 180-4) (#A1948), SHA2-512 (#A1948) como algoritmo de resumo subjacente Módulos de 2048, 3072 e 4096 bits, fornecendo 112, 128 e 150 bits de força de criptografia, respectivamente. |
Geração de assinatura |
| A1948 | RSA SigVer (FIPS186-4) | RSA SigVer (FIPS186-4) | FIPS 186-4 PKCS #1 1.5 e PSS SigVer: 1024, 2048, 3072 e 4096 bits (SHA-1, SHA-2 256, 384 e 512) Usa SHA-1 (FIPS 180-4)(#A1947) SHA2-256 (FIPS 180-4) (#A1948), SHA2-384 (FIPS 180-4) (#A1948), SHA2-512 (#A1948) como algoritmo digest subjacente Módulos de 2048, 3072 e 4096 bits, fornecendo 112, 128 e 150 bits de força de criptografia, respectivamente. |
Verificação de assinatura Autenticação de usuário Verificação de atualização de firmware |
| A1948 | SHA-1 (FIPS 180-4) | SHA-1 | SHA-1 | Resumos, HMAC e KDFs |
| A1948 | SHA2-256 (FIPS 180-4) | SHA2 | SHA2-256 | Resumos, HMAC, geração de assinatura e KDFs |
| A1948 | SHA2-384 (FIPS 180-4) | SHA2 | SHA2-384 | Resumos, HMAC, geração de assinatura e KDFs |
| A1948 | SHA2-512 (FIPS 180-4) | SHA2 | SHA2-512 | Resumos, HMAC, geração de assinatura e KDFs |
| A1948 | TDES-ECB | TDES | Triple-DES descriptografar 3 chaves. Somente uso herdado |
Pré-requisitos para TDES-KW. |
| A1948 | TDES-KW (KTS) (SP 800-38F) | SP 800-38F. KTS (desembrulhamento de chave) por IG D.G | Chave de 192 bits fornecendo força de criptografia de 112 bits Somente uso herdado |
Desembrulhamento de chave |
| A1948 | TDES-KW (SP 800-38F) | TDES | Descriptografia de DES de 3 chaves do TKW Usa TDES-ECB (#A1948) como criptografia de bloco subjacente Somente uso herdado |
Desembrulhamento de chave |
| A2393 | ECDSA KeyGen (FIPS186-4) | ECDSA KeyGen (FIPS186-4) | Key Gen: P-224, P-256, P-384, P-521 Usa o DRBG de Hash (SP800-90Ar1) (#A1947) como gerador aleatório subjacente para o par de chaves ECDSA KeyGen |
Geração de chave |
| A2393 | KTS-IFC (KTS) (SP 800-56Br2) | SP 800-56Brev2. KTS-IFC (encapsulamento de chave e desconcapsulação) por IG D.G. | Módulo 2048, 3072 ou 4096 bits fornecendo 112, 128 ou 150 bits de força de criptografia | Encapsulamento e desaconsulação de chave assimétrica no ambiente híbrido |
| A2393 | KTS-IFC (SP 800-56Br2) | KTS | Encapsulamento de chave RSA e desencapsagem de chaves simétricas no preenchimentoOAEP-Basic KTS. Módulo 2048, 3072, 4096 bits Usa o CONTADOR DRBG (SP800-90Ar1) (#A1948) como gerador aleatório subjacente Usa HMAC-SHA2-256 (FIPS 180-4) (#A1947), HMAC-SHA2-384 (FIPS 180-4) (#A1947), HMAC-SHA2-512 (FIPS 180-4) (#A1947) como algoritmo digest subjacente Usa o RSA KeyGen (FIPS 186-4) (#A2393) como algoritmo de geração de chave subjacente |
Encapsulamento e desaconsulação de chave assimétrica no ambiente híbrido |
| A2393 | RSA KeyGen (FIPS186-4) | RSA KeyGen (FIPS186-4) | Geração de chaves: 2048, 3072 e 4096 bits Usa o DRBG de Hash (SP800-90Ar1) (#A1947) como gerador aleatório subjacente para o par de chaves ECDSA KeyGen |
Geração de chave RSA no ambiente híbrido |
| KAS-ECC-SSC SP800-56Ar3 (#A1947) e KDF TLS (CVL) (#A1947) | KAS TLS (SP 800-56Ar3) | SP 800-56Arev3. KAS-ECC por IG D.F Cenário 2 caminho (2) | Curvas P-224, P-256, P-384, P-521 fornecendo 112, 128, 192 ou 256 bits de força de criptografia | TLS |
| KAS-ECC-SSC SP800-56Ar3 (#A1948) KDF ANS 9.63 (CVL) (SP 800-135r1) (#A1948) KAS-ECC-SSC |
KAS ANS 9.63 (SP 800-56Ar3) | SP 800-56Arev3. KAS-ECC por IG D.F Cenário 2 (2). | Curvas P-224, P-256, P-384 e P-521 fornecendo 112, 128, 192 ou 256 bits de força de criptografia | Derivação de chave ECDH e quebra de chave ECDH-AES |
| KAS-ECC-SSC SP800-56Ar3 (#A1948), KDA HKDF SP800-56Cr1 (#A1948) | KAS KDA HKDF (SP 800-56Ar3) | SP 800-56Arev3. KAS-ECC por IG D.F Cenário 2 (2). | Curvas P-224, P-256, P-384 e P-521 fornecendo 112, 128, 192 ou 256 bits de força de criptografia | Derivação de chave ECDH e quebra de chave ECDH-AES |
| KAS-ECC-SSC SP800-56Ar3 (#A1948), KDA OneStep SP800-56Cr1 (#A1948) | KAS KDA ONESTEP (SP 800-56Ar3) | SP 800-56Arev3. KAS-ECC por IG D.F Cenário 2 (2). | Curvas P-224, P-256, P-384 e P-521 fornecendo 112, 128, 192 ou 256 bits de força de criptografia | Derivação de chave ECDH e quebra de chave ECDH-AES |
| KAS-ECC-SSC SP800-56Ar3 (#A1948), KDA TwoStep SP800-56Cr1 (#A1948) | KAS KDA TWOSTEP (SP 800-56Ar3) | SP 800-56Arev3. KAS-ECC por IG D.F Cenário 2 (2). | Curvas P-224, P-256, P-384 e P-521 fornecendo 112, 128, 192 ou 256 bits de força de criptografia | Derivação de chave ECDH e quebra de chave ECDH-AES |
| KAS-IFC-SSC (SP 800-56Br2) (#A1948) KDA HKDF SP800-56Cr1 (#A1948) |
KAS-IFC HKDF (SP800-56Br2) | SP 800-56Brev2. KAS-IFC por IG D.F Cenário 1 caminho (2). | Módulo de 2048 bits, 3072 bits e 4096 bits, fornecendo entre 112 e 150 bits de força de criptografia | Geração de PEK e KLK e autenticação de certificado |
| KAS-IFC-SSC (SP 800-56Br2) (#A1948) KDA OneStep SP800-56Cr1 (#A1948) |
KAS-IFC OneStep (SP800-56Br2) | SP 800-56Brev2. KAS-IFC por IG D.F Cenário 1 caminho (2). | Módulo de 2048 bits, 3072 bits e 4096 bits, fornecendo entre 112 e 150 bits de força de criptografia | Geração de PEK e KLK e autenticação de certificado |
| KAS-IFC-SSC (SP 800-56Br2) (#A1948) KDA TwoStep SP800-56Cr1 (#A1948) |
KAS-IFC TwoStep (SP800-56Br2) | SP 800-56Brev2. KAS-IFC por IG D.F Cenário 1 caminho (2). | Módulo de 2048 bits, 3072 bits e 4096 bits, fornecendo entre 112 e 150 bits de força de criptografia | Geração de PEK e KLK e autenticação de certificado |
| N/A | ENT (P) (SP 800-90B) | N/A | Origem da entropia SP 800-90B | Origem da entropia |
| Fornecedor afirmado | CKG SP 800-133Rev2 | CKG | Consulte a seção 2.3.2 Informações específicas do algoritmo | Geração de chave criptográfica; SP 800-133Rev2 e IG D.H |
O que vem a seguir?
- Visão geral do HSM de Nuvem do Azure
- Gerenciamento de chaves no HSM de Nuvem do Azure
- Autenticação no Azure Cloud HSM
- Fazer backup e restaurar recursos de HSM do Azure Cloud
- Segurança de rede para o HSM de Nuvem do Azure
- Gerenciamento de usuário no Azure Cloud HSM
- Limites de serviço para o HSM de Nuvem do Azure
- Solucionar problemas do HSM de Nuvem do Azure