Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Exportieren Sie einen AWS CloudHSM Schlüssel mit KMU
Verwenden Sie den wrapKey Befehl in AWS CloudHSM key_mgmt_util, um eine verschlüsselte Kopie eines symmetrischen oder privaten Schlüssels aus dem Hardware-Sicherheitsmodul (HSM) in eine Datei zu exportieren. Wenn Sie wrapKey ausführen, geben Sie den zu exportierenden Schlüssel, einen Schlüssel in dem HSM zum Verschlüsseln (Wrap) des zu exportierenden Schlüssels und die Ausgabedatei an.
Der Befehl wrapKey
schreibt den verschlüsselten Schlüssel in eine von Ihnen angegebene Datei, entfernt den Schlüssel jedoch nicht aus dem HSM oder verhindert, dass Sie ihn in kryptographischen Operationen verwenden. Sie können den gleichen Schlüssel mehrmals exportieren.
Nur der Eigentümer eines Schlüssels, d.h. der Crypto-Benutzer (CU), der den Schlüssel angelegt hat, kann ihn exportieren. Benutzer, für die der Schlüssel freigegeben ist, können ihn in kryptografischen Vorgängen verwenden, können ihn aber nicht exportieren.
Um den verschlüsselten Schlüssel wieder in das HSM zu importieren, verwenden Sie. unWrapKey Um einen Klartext-Schlüssel aus einem HSM zu exportieren, verwenden Sie exSymKeyoder exportPrivateKeyje nach Bedarf. aesWrapUnwrapMit dem Befehl können verschlüsselte Schlüssel nicht entschlüsselt (entpackt) werden. wrapKey
Bevor Sie einen key_mgmt_util-Befehl ausführen, müssen Sie key_mgmt_util starten und sich am HSM als Crypto-Benutzer (CU) anmelden.
Syntax
wrapKey -h wrapKey -k
<exported-key-handle>
-w<wrapping-key-handle>
-out<output-file>
[-m<wrapping-mechanism>
] [-aad<additional authenticated data filename>
] [-t<hash-type>
] [-noheader] [-i<wrapping IV>
] [-iv_file<IV file>
] [-tag_size<num_tag_bytes>>
]
Beispiel
Mit diesem Befehl wird ein symmetrischer 192-Bit-3DES-Schlüssel exportiert (Schlüssel-Handle 7
). Der Befehl verwendet einen 256-Bit-AES-Schlüssel im HSM (Schlüssel-Handle 14
), um den Schlüssel 7
zu verpacken. Anschließend wird der verschlüsselte 3DES-Schlüssel in die Datei 3DES-encrypted.key
geschrieben.
Die Ausgabe zeigt, dass der Schlüssel 7
(der 3DES-Schlüssel) erfolgreich verpackt und in die angegebene Datei geschrieben wurde. Der verschlüsselte Schlüssel hat eine Länge von 307 Byte.
Command:
wrapKey -k 7 -w 14 -out 3DES-encrypted.key -m 4
Key Wrapped. Wrapped Key written to file "3DES-encrypted.key length 307 Cfm2WrapKey returned: 0x00 : HSM Return: SUCCESS
Parameter
- -h
-
Zeigt Hilfe für den Befehl an.
Erforderlich: Ja
- -k
-
Der Schlüssel-Handle des Schlüssels, den Sie exportieren möchten. Geben Sie das Schlüssel-Handle eines symmetrischen oder privaten Schlüssels ein, der Ihnen gehört. Verwenden Sie den findKey-Befehl, um Schlüssel-Handles zu finden.
Verwenden Sie den Befehl getAttribute, um sicherzustellen, dass ein Schlüssel exportiert werden kann, und um den Wert des Attributs
OBJ_ATTR_EXTRACTABLE
abzurufen, der von der Konstanten354
dargestellt wird. Hilfe zur Interpretation der Schlüsselattribute finden Sie unter AWS CloudHSM Referenz zu Schlüsselattributen für KMU.Zudem können Sie nur Schlüssel exportieren, deren Eigentümer Sie sind. Verwenden Sie den Befehl, um den Besitzer eines Schlüssels zu ermitteln. getKeyInfo
Erforderlich: Ja
- -w
-
Gibt den Wrapping-Schlüssel an. Geben Sie das Schlüssel-Handle eines AES-Schlüssels oder RSA-Schlüssels auf dem HSM ein. Dieser Parameter muss angegeben werden. Verwenden Sie den findKey-Befehl, um Schlüssel-Handles zu finden.
Um einen Wrapping-Schlüssel zu erstellen, verwenden Sie, genSymKeyum einen AES-Schlüssel (Typ 31) oder ein RSAKeyGen-Paar zu generieren, um ein RSA-Schlüsselpaar (Typ 0) zu generieren. Wenn Sie ein RSA-Schlüsselpaar verwenden, achten Sie darauf, den Schlüssel mit einem der Schlüssel zu umwickeln und ihn mit dem anderen zu entpacken. Verwenden Sie getAttribute, um zu überprüfen, ob ein Schlüssel als Verpackungsschlüssel verwendet werden kann, und um den Wert des
OBJ_ATTR_WRAP
-Attributs abzurufen, der von der Konstanten262
dargestellt wird.Erforderlich: Ja
- -out
-
Pfad und Name der Ausgabedatei. Wenn der Befehl erfolgreich ist, enthält diese Datei eine verschlüsselte Kopie des exportierten Schlüssels. Wenn die Datei bereits vorhanden ist, überschreibt der Befehl sie ohne Warnung.
Erforderlich: Ja
- -m
-
Der Wert, der den Verschlüsselungsmechanismus bezeichnet. CloudHSM unterstützt die folgenden Mechanismen:
Mechanismus Wert AES_KEY_WRAP_PAD_PKCS5
4 NIST_AES_WRAP_NO_PAD
5 NIST_AES_WRAP_PAD
6 RSA_AES
7 RSA_OAEP
(zur maximalen Datengröße lesen Sie den Hinweis weiter unten in diesem Abschnitt)8 AES_GCM
10 CLOUDHSM_AES_GCM
11 RSA_PKCS
(Zur maximalen Datengröße lesen Sie den Hinweis weiter unten in diesem Abschnitt.) Eine bevorstehende Änderung finden Sie im Hinweis 1 unten.12 Erforderlich: Ja
Anmerkung
Wenn Sie den
RSA_OAEP
Wrapping-Mechanismus verwenden, wird die maximale Schlüsselgröße, die Sie umbrechen können, durch den Modul des RSA-Schlüssels und die Länge des angegebenen Hashs wie folgt bestimmt: Maximale Schlüsselgröße = (modulusLengthInBytes-2* hashLengthIn Bytes-2).Wenn Sie den RSA_PKCS-Wrapping-Mechanismus verwenden, wird die maximale Schlüsselgröße, die Sie umbrechen können, durch das Modul des RSA-Schlüssels wie folgt bestimmt: Maximale Schlüsselgröße = (Byte -11). modulusLengthIn
- -t
-
Der Wert, der den Hash-Algorithmus darstellt. CloudHSM unterstützt die folgenden Algorithmen:
Hash-Algorithmus Wert SHA1
2 SHA256
3 SHA384
4 SHA512
5 SHA224
(gültig fürRSA_AES
- undRSA_OAEP
-Mechanismen)6 Erforderlich: Nein
- AAD
Der Dateiname mit
AAD
.Anmerkung
Gültig nur für
AES_GCM
- undCLOUDHSM_AES_GCM
-Mechanismen.Erforderlich: Nein
- -noheader
-
Lässt den Header weg, der CloudHSM-spezifische Schlüsselattribute angibt. Verwenden Sie diesen Parameter nur, wenn Sie planen, den Schlüssel mit Tools außerhalb von key_mgmt_util zu entpacken.
Erforderlich: Nein
- -i
Der Initialisierungsvektor (IV) (Hex-Wert).
Anmerkung
Gültig nur, wenn mit dem
-noheader
-Parameter fürCLOUDHSM_AES_KEY_WRAP
- undNIST_AES_WRAP
-Mechanismen übergeben.Erforderlich: Nein
- -iv_file
Die Datei, in die Sie den als Antwort erhaltenen IV-Wert schreiben möchten.
Anmerkung
Gültig nur, wenn mit dem
-noheader
-Parameter für denAES_GCM
-Mechanismus übergeben.Erforderlich: Nein
- -tag_size
Die Größe des Tags, das zusammen mit verschlüsseltem Blob gespeichert werden soll.
Anmerkung
Gültig nur, wenn mit dem
-noheader
-Parameter fürAES_GCM
- undCLOUDHSM_AES_GCM
-Mechanismen übergeben. Die Mindestgröße der Tags ist acht.Erforderlich: Nein
[1] Gemäß den NIST-Richtlinien ist dies für Cluster im FIPS-Modus nach 2023 nicht zulässig. Für Cluster im Nicht-FIPS-Modus ist dies auch nach 2023 zulässig. Details dazu finden Sie unter FIPS-140-Konformität: Mechanismus 2024 nicht mehr unterstützt.