Асимметричная ключевая пара подписи в KMS
Асимметричная ключевая пара электронной подписи состоит из двух частей: открытого ключа подписи (Public key) и закрытого ключа подписи (Private key). Закрытый ключ используется для создания электронной подписи, открытый — для ее проверки.
Каждая ключевая пара соответствует одному ключу в квотах KMS.
Параметры ключевой пары электронной подписи
Для ключевой пары электронной подписи KMS доступны следующие параметры:
-
Идентификатор – уникальный идентификатор ключевой пары в Yandex Cloud. Используется для работы с ключевыми парами с помощью SDK, API и CLI.
-
Имя — имя ключевой пары, неуникально и может быть использовано для работы с ключевыми парами с помощью CLI, если в каталоге только одна ключевая пара с таким именем.
-
Алгоритм подписи – алгоритм, используемый для создания и проверки электронной подписи. Поддерживаются следующие алгоритмы подписи:
rsa-2048-sign-pss-sha-256
;rsa-2048-sign-pss-sha-384
;rsa-2048-sign-pss-sha-512
;rsa-3072-sign-pss-sha-256
;rsa-3072-sign-pss-sha-384
;rsa-3072-sign-pss-sha-512
;rsa-4096-sign-pss-sha-256
;rsa-4096-sign-pss-sha-384
;rsa-4096-sign-pss-sha-512
;ecdsa-nist-p256-sha-256
;ecdsa-nist-p384-sha-384
;ecdsa-nist-p521-sha-512
;ecdsa-secp256-k1-sha-256
.
-
Статус — текущее состояние ключевой пары. Возможные статусы:
Creating
— ключевая пара создается.Active
— ключевая пара может использоваться для подписи и проверки подписи.Inactive
— ключевая пара не может использоваться.
Изменить статус ключевой пары с
Active
наInactive
и обратно можно вызовом gRPC API AsymmetricSignatureKeyService/Update.
Использование ключевой пары электронной подписи
Асимметричную ключевую пару электронной подписи можно использовать в операциях электронной подписи и проверки подписи данных при наличии определенных ролей. Вы можете временно заблокировать операции с использованием ключевой пары, отозвав роли или изменив ее статус на Inactive
. Подробнее читайте в разделе Управление доступом в Key Management Service.
Удаление ключевой пары электронной подписи
Удаление ключевой пары электронной подписи или родительского ресурса (каталога или облака), в котором содержалась ключевая пара, приводит к уничтожению содержащегося в нем криптографического материала.