启用加密机制
在 IBM Cloud® Hyper Protect Crypto Services中启用某些加密功能和机制后,作为加密单元管理员,您可能需要在 Hyper Protect Crypto Services 实例中手动启用这些功能和机制,然后才能开始使用这些功能和机制。
HSM 固件在 受支持的 IBM Cloud 区域 中更新以启用以下功能部件。 如果在相应区域中部署 HSM 固件更新后供应服务实例,那么缺省情况下将启用此功能。 但是,对于在 HSM 固件更新推出之前设置主密钥的任何现有服务实例,您需要根据需要手动启用这些功能部件。
启用 BIP32 确定性电子钱包
比特币改进建议 (BIP) 描述了比特币的一个功能,以及流程或环境。 BIP 0032 (BIP32) 标准用于分层确定性电子钱包,以定义如何派生电子钱包的专用密钥和公用密钥。
要启用 BIP32,请执行以下步骤:
步骤 1: 验证 BIP32 启用
要检查服务实例中是否已启用 BIP32 功能,请执行以下步骤:
执行这些步骤之前,请确保已 供应服务实例,并使用 Trusted Key Entry(TKE)命令行界面(CLI)插件 或 管理实用程序 初始化服务实例。
-
在 CLI 中,使用以下命令将 TKE CLI 插件更新到最新版本:
ibmcloud plugin update tke -
要检查是否启用了 BIP32 功能,请运行以下命令:
ibmcloud tke cryptounit-compare以下输出是要显示的内容的示例。 如果启用了 BIP32 功能,那么在
CONTROL POINTS部分中将XCP_CPB_BTC列指定为Set:CONTROL POINTS SERVICE INSTANCE: f410ea28-691a-4708-a580-1f813e0a6d31 CRYPTO UNIT NUM XCP_CPB_BTC 1 Set 2 Set如果显示
Not Set,请执行以下步骤以手动启用 BIP32 功能。
步骤 2: 手动启用 BIP32
要对服务实例启用 BIP32,请执行以下步骤:
-
检查并确保使用以下命令选择了服务实例中的所有加密单元:
ibmcloud tke cryptounits以下输出是要显示的内容的示例。 所有所选加密单元都在
SELECTED列中标记为true:SERVICE INSTANCE: 482cf2ce-a06c-4265-9819-0b4acf54f2ba CRYPTO UNIT NUM SELECTED LOCATION 1 true [us-south].[AZ3-CS3].[02].[03] 2 true [us-south].[AZ2-CS2].[02].[03] -
如果未选择任何加密单元,请运行以下命令并遵循提示将加密单元添加到所选列表中:
ibmcloud tke cryptounit-add -
要启用 BIP32 功能,请运行以下命令:
ibmcloud tke cryptounit-cp-btc -
(可选) 要确认 BIP32 功能是否已启用,请再次运行
ibmcloud tke cryptounit-compare命令,并确保针对输出中的所有加密单元将XCP_CPB_BTC标记为Set。
启用 Edwards-曲线数字签名算法
爱德华兹曲线数字签名算法 (EdDSA) 是一种基于性能优化的椭圆曲线的现代安全数字签名算法。
要启用 EdDSA,请执行以下步骤:
步骤 1: 验证 EdDSA 启用
要检查服务实例中是否已启用 EdDSA 功能,请执行以下步骤:
执行这些步骤之前,请确保已 供应服务实例,并使用 Trusted Key Entry(TKE)命令行界面(CLI)插件 或 管理实用程序 初始化服务实例。
-
在 CLI 中,使用以下命令将 TKE CLI 插件更新到最新版本:
ibmcloud plugin update tke -
要检查是否启用了 EdDSA 功能,请运行以下命令:
ibmcloud tke cryptounit-compare以下输出是要显示的内容的示例。 如果启用了 EdDSA 功能,那么在
CONTROL POINTS部分中将XCP_CPB_ALG_EC_25519列指定为Set:CONTROL POINTS SERVICE INSTANCE: f410ea28-691a-4708-a580-1f813e0a6d31 CRYPTO UNIT NUM XCP_CPB_ALG_EC_25519 1 Set 2 Set如果显示了
Not Set,请执行以下步骤以手动启用 EdDSA 功能。
步骤 2: 手动启用 EdDSA
要对服务实例启用 EdDSA,请执行以下步骤:
-
检查并确保使用以下命令选择了服务实例中的所有加密单元:
ibmcloud tke cryptounits以下输出是要显示的内容的示例。 所有所选加密单元都在
SELECTED列中标记为true:SERVICE INSTANCE: 482cf2ce-a06c-4265-9819-0b4acf54f2ba CRYPTO UNIT NUM SELECTED LOCATION 1 true [us-south].[AZ3-CS3].[02].[03] 2 true [us-south].[AZ2-CS2].[02].[03] -
如果未选择任何加密单元,请运行以下命令并遵循提示将加密单元添加到所选列表中:
ibmcloud tke cryptounit-add -
要启用 EdDSA 功能,请运行以下命令:
ibmcloud tke cryptounit-cp-eddsa -
(可选) 要确认 EdDSA 功能部件已启用,请再次运行
ibmcloud tke cryptounit-compare命令,并确保针对输出中的所有加密单元将XCP_CPB_ALG_EC_25519标记为Set。
启用 Schnorr 算法
Schnorr 算法可用作生成数字签名的签名方案。 它被提出作为比特币系统中加密签名的椭圆曲线数字签名算法 (ECDSA) 的替代算法。 施诺尔签名以简洁和高效着称。
要启用 Schnorr 算法,请执行以下步骤:
步骤 1: 验证 Schnorr 算法启用
要检查是否已在服务实例中启用 Schnorr 算法,请执行以下步骤:
执行这些步骤之前,请确保已 供应服务实例,并使用 Trusted Key Entry(TKE)命令行界面(CLI)插件 或 管理实用程序 初始化服务实例。
-
在 CLI 中,使用以下命令将 TKE CLI 插件更新到最新版本:
ibmcloud plugin update tke -
要检查是否启用了 Schnorr 算法,请运行以下命令:
ibmcloud tke cryptounit-compare以下输出是要显示的内容的示例。 如果启用了 Schnorr 算法,那么
XCP_CPB_ECDSA_OTHER列在CONTROL POINTS部分中指定为Set:CONTROL POINTS SERVICE INSTANCE: f410ea28-691a-4708-a580-1f813e0a6d31 CRYPTO UNIT NUM XCP_CPB_ECDSA_OTHER 1 Set 2 Set如果显示
Not Set,请执行以下步骤以手动启用 Schnorr 算法。
步骤 2: 手动启用 Schnorr 算法
要为服务实例启用 Schnorr 算法,请执行以下步骤:
-
检查并确保使用以下命令选择了服务实例中的所有加密单元:
ibmcloud tke cryptounits以下输出是要显示的内容的示例。 所有所选加密单元都在
SELECTED列中标记为true:SERVICE INSTANCE: 482cf2ce-a06c-4265-9819-0b4acf54f2ba CRYPTO UNIT NUM SELECTED LOCATION 1 true [us-south].[AZ3-CS3].[02].[03] 2 true [us-south].[AZ2-CS2].[02].[03] -
如果未选择任何加密单元,请运行以下命令并遵循提示将加密单元添加到所选列表中:
ibmcloud tke cryptounit-add -
要启用 Schnorr 算法,请运行以下命令:
ibmcloud tke cryptounit-cp-sig-other -
(可选) 要确认已启用 Schnorr 算法,请再次运行
ibmcloud tke cryptounit-compare命令,并确保针对输出中的所有加密单元将XCP_CPB_ECDSA_OTHER标记为Set。
下一步
现在可以开始使用 PKCS #11 API 或 GREP11 API 来执行加密操作并保护确定性电子钱包。
- 有关 TKE CLI 命令的更多信息,请查看 TKE CLI 参考。
- 有关 PKCS #11 API 的更多信息,请查看 PKCS 简介 #11 和 PKCS #11 API 参考。
- 有关 GREP11 API 的更多信息,请查看 通过 gRPC 和 GREP11 API 参考简介 EP11。
- 要了解有关 PKCS #11 与 GREP11 API 之间的差异和关系的更多信息,请参阅 Cloud HSM 简介。