Verschlüsseln und entschlüsseln Sie eine Datei mit AWS CloudHSM KMU - AWS CloudHSM
SyntaxBeispieleParameterVerwandte Themen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsseln und entschlüsseln Sie eine Datei mit AWS CloudHSM KMU

Verwenden Sie den aesWrapUnwrap Befehl in AWS CloudHSM key_mgmt_util, um den Inhalt einer Datei auf der Festplatte zu verschlüsseln oder zu entschlüsseln. Mit diesem Befehl können Sie Verschlüsselungsschlüssel ein- und auspacken. Sie können ihn für jede Datei verwenden, die weniger als 4 KB (4096 Byte) Daten enthält.

aesWrapUnwrapverwendet AES Key Wrap. Es verwendet einen AES Schlüssel auf dem HSM als Schlüssel zum Umschließen oder Entpacken. Dann schreibt er das Ergebnis in eine andere Datei auf dem Datenträger.

Bevor Sie einen key_mgmt_util-Befehl ausführen, müssen Sie key_mgmt_util starten und sich als Crypto-Benutzer (CU) anmelden. HSM

Syntax

aesWrapUnwrap -h

aesWrapUnwrap -m <wrap-unwrap mode>
              -f <file-to-wrap-unwrap> 
              -w <wrapping-key-handle>               
              [-i <wrapping-IV>] 
              [-out <output-file>]

Beispiele

Diese Beispiele zeigen, wie man mit aesWrapUnwrap einen Verschlüsselungsschlüssel in einer Datei verschlüsselt und entschlüsselt.

Beispiel : Verschlüsselungsschlüssel verpacken

Dieser Befehl wird verwendet, aesWrapUnwrap um einen dreifach DES symmetrischen Schlüssel, der aus dem im Klartext exportiert wurde, in die Datei einzufügen. HSM 3DES.key Mit einem ähnlichen Befehl können Sie jeden in einer Datei gespeicherten Schlüssel verpacken.

Der Befehl verwendet den -m-Parameter mit dem Wert 1, um den Wrap-Modus festzulegen. Er verwendet den -w Parameter, um einen AES Schlüssel im HSM (Tastenkürzel6) als Umbruchschlüssel anzugeben. Der resultierende verpackte Schlüssel wird in die 3DES.key.wrapped-Datei geschrieben.

Die Ausgabe zeigt, dass der Befehl erfolgreich war und dass die Operation die Standard-IV verwendet hat, die bevorzugt wird.

 Command:  aesWrapUnwrap -f 3DES.key -w 6 -m 1 -out 3DES.key.wrapped

        Warning: IV (-i) is missing.
                 0xA6A6A6A6A6A6A6A6 is considered as default IV
result data:
49 49 E2 D0 11 C1 97 22
17 43 BD E3 4E F4 12 75
8D C1 34 CF 26 10 3A 8D
6D 0A 7B D5 D3 E8 4D C2
79 09 08 61 94 68 51 B7

result written to file 3DES.key.wrapped

        Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS
Beispiel : Verschlüsselungsschlüssel entpacken

Dieses Beispiel zeigt, wie man aesWrapUnwrap verwendet, um einen verpackten (verschlüsselten) Schlüssel in einer Datei zu entpacken (entschlüsseln). Möglicherweise möchten Sie eine Operation wie diese ausführen, bevor Sie einen Schlüssel in die importierenHSM. Wenn Sie beispielsweise versuchen, den imSymKeyBefehl zum Importieren eines verschlüsselten Schlüssels zu verwenden, wird ein Fehler zurückgegeben, da der verschlüsselte Schlüssel nicht das Format hat, das für einen Klartext-Schlüssel dieses Typs erforderlich ist.

Der Befehl entpackt den Schlüssel in der Datei 3DES.key.wrapped und schreibt den Klartext in die Datei 3DES.key.unwrapped. Der Befehl verwendet den -m-Parameter mit dem Wert 0, um den Unwrap-Modus festzulegen. Es verwendet den -w Parameter, um einen AES Schlüssel in HSM (Schlüsselname6) als Umschließungsschlüssel anzugeben. Der resultierende verpackte Schlüssel wird in die 3DES.key.unwrapped-Datei geschrieben. 

 Command:  aesWrapUnwrap -m 0 -f 3DES.key.wrapped -w 6 -out 3DES.key.unwrapped

        Warning: IV (-i) is missing.
                 0xA6A6A6A6A6A6A6A6 is considered as default IV
result data:
14 90 D7 AD D6 E4 F5 FA
A1 95 6F 24 89 79 F3 EE
37 21 E6 54 1F 3B 8D 62

result written to file 3DES.key.unwrapped

        Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS

Parameter

-h

Zeigt Hilfe für den Befehl an.

Erforderlich: Ja

-m

Gibt den Modus an. Um den Dateiinhalt zu verpacken (verschlüsseln), geben Sie 1 ein. Um den Dateiinhalt zu entpacken (entschlüsseln), geben Sie 0 ein.

Erforderlich: Ja

-f

Gibt die zu verpackende Datei an. Geben Sie eine Datei ein, die weniger als 4 KB (4096 Byte) Daten enthält. Diese Operation wurde entwickelt, um Verschlüsselungsschlüssel ein- und auszupacken.

Erforderlich: Ja

-w

Gibt den Wrapping-Schlüssel an. Geben Sie den Tastenkürzel eines AES Schlüssels auf dem einHSM. Dieser Parameter muss angegeben werden. Verwenden Sie den findKeyBefehl, um nach Schlüsselgriffen zu suchen.

Verwenden Sie zum Generieren eines Schlüssels einen Schlüssel (Typ 31), genSymKeyum einen AES Schlüssel zu erstellen.

Erforderlich: Ja

-i

Gibt einen alternativen Initialwert (IV) für den Algorithmus an. Verwenden Sie den Standardwert, es sei denn, es gibt eine spezielle Bedingung, die eine Alternative erfordert.

Standard: 0xA6A6A6A6A6A6A6A6. Der Standardwert ist in der AESKey Wrap-Algorithmusspezifikation definiert.

Erforderlich: Nein

-out

Gibt einen alternativen Namen für die Ausgabedatei an, die den verpackten oder entpackten Schlüssel enthält. Die Voreinstellung ist wrapped_key (für Wrap-Operationen) und unwrapped_key (für Unwrap-Operationen) im lokalen Verzeichnis.

Wenn die Datei vorhanden ist, wird diese ohne Warnung von aesWrapUnwrap überschrieben. Wenn der Befehl fehlschlägt, erstellt aesWrapUnwrap eine Ausgabedatei ohne Inhalt.

Voreinstellung: Für Verpacken: wrapped_key. Zum Entpacken: unwrapped_key.

Erforderlich: Nein

Verwandte Themen