Generación de un par de claves EC asimétricas con la CLI de CloudHSM
Utilice el comando key asymmetric-pair ec de la CLI de CloudHSM para generar un par de claves asimétricas de curva elíptica (EC) en su clúster de AWS CloudHSM.
Tipo de usuario
Los tipos de usuarios siguientes pueden ejecutar este comando.
-
Usuarios de criptografía (CU)
Requisitos
Para ejecutar este comando, debe iniciar sesión como CU.
Sintaxis
aws-cloudhsm >help key generate-asymmetric-pair ecGenerate an Elliptic-Curve Cryptography (ECC) key pair Usage: key generate-asymmetric-pair ec [OPTIONS] --public-label<PUBLIC_LABEL>--private-label<PRIVATE_LABEL>--curve<CURVE>Options: --cluster-id<CLUSTER_ID>Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --public-label<PUBLIC_LABEL>Label for the public key --private-label<PRIVATE_LABEL>Label for the private key --session Creates a session key pair that exists only in the current session. The key cannot be recovered after the session ends --curve<CURVE>Elliptic curve used to generate the key pair [possible values: prime256v1, secp256r1, secp224r1, secp384r1, secp256k1, secp521r1] --public-attributes [<PUBLIC_KEY_ATTRIBUTES>...] Space separated list of key attributes to set for the generated EC public key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE --private-attributes [<PRIVATE_KEY_ATTRIBUTES>...] Space separated list of key attributes to set for the generated EC private key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE -h, --help Print help
Ejemplos
Estos ejemplos muestran cómo utilizar el comando key generate-asymmetric-pair ec para crear un par de claves EC.
ejemplo Ejemplo: creación de un par de claves CE
aws-cloudhsm >key generate-asymmetric-pair ec \ --curve secp224r1 \ --public-label ec-public-key-example \ --private-label ec-private-key-example{ "error_code": 0, "data": { "public_key": { "key-reference": "0x000000000012000b", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "session" }, "attributes": { "key-type": "ec", "label": "ec-public-key-example", "id": "", "check-value": "0xd7c1a7", "class": "public-key", "encrypt": false, "decrypt": false, "token": false, "always-sensitive": false, "derive": false, "destroyable": true, "extractable": true, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": false, "sign": false, "trusted": false, "unwrap": false, "verify": false, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 57, "ec-point": "0x047096513df542250a6b228fd9cb67fd0c903abc93488467681974d6f371083fce1d79da8ad1e9ede745fb9f38ac8622a1b3ebe9270556000c", "curve": "secp224r1" } }, "private_key": { "key-reference": "0x000000000012000c", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "session" }, "attributes": { "key-type": "ec", "label": "ec-private-key-example", "id": "", "check-value": "0xd7c1a7", "class": "private-key", "encrypt": false, "decrypt": false, "token": false, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": true, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": false, "trusted": false, "unwrap": false, "verify": false, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 122, "ec-point": "0x047096513df542250a6b228fd9cb67fd0c903abc93488467681974d6f371083fce1d79da8ad1e9ede745fb9f38ac8622a1b3ebe9270556000c", "curve": "secp224r1" } } } }
ejemplo Ejemplo: creación de un par de claves CE con atributos opcionales
aws-cloudhsm >key generate-asymmetric-pair ec \ --curve secp224r1 \ --public-label ec-public-key-example \ --private-label ec-private-key-example \ --public-attributes token=true encrypt=true \ --private-attributes token=true decrypt=true{ "error_code": 0, "data": { "public_key": { "key-reference": "0x00000000002806eb", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "full" }, "attributes": { "key-type": "ec", "label": "ec-public-key-example", "id": "", "check-value": "0xedef86", "class": "public-key", "encrypt": true, "decrypt": false, "token": true, "always-sensitive": false, "derive": false, "destroyable": true, "extractable": true, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": false, "sign": false, "trusted": false, "unwrap": false, "verify": false, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 57, "ec-point": "0x0487af31882189ec29eddf17a48e8b9cebb075b7b5afc5522fe9c83a029a450cc68592889a1ebf45f32240da5140d58729ffd7b2d44262ddb8", "curve": "secp224r1" } }, "private_key": { "key-reference": "0x0000000000280c82", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "full" }, "attributes": { "key-type": "ec", "label": "ec-private-key-example", "id": "", "check-value": "0xedef86", "class": "private-key", "encrypt": false, "decrypt": true, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": true, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": false, "trusted": false, "unwrap": false, "verify": false, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 122, "ec-point": "0x0487af31882189ec29eddf17a48e8b9cebb075b7b5afc5522fe9c83a029a450cc68592889a1ebf45f32240da5140d58729ffd7b2d44262ddb8", "curve": "secp224r1" } } } }
Argumentos
<CLUSTER_ID>-
El ID del clúster en el que se va a ejecutar esta operación.
Obligatorio: si se han configurado varios clústeres.
<CURVE>-
Especifica el identificador de la curva elíptica.
prime256v1
secp256r1
secp224r1
secp384r1
secp256k1
secp521r1
Obligatorio: sí
<PUBLIC_KEY_ATTRIBUTES>-
Especifica una lista de atributos de clave separados por espacios para establecer la clave pública EC generada en forma de
KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE(por ejemplo,token=true)Para obtener una lista de los atributos de clave compatibles, consulte Atributos de clave de la CLI de CloudHSM.
Requerido: no
<PUBLIC_LABEL>-
Especifica una etiqueta definida por el usuario para la clave pública. El tamaño máximo permitido para
labeles de 127 caracteres para Client SDK 5.11 de y versiones posteriores. Client SDK 5.10 y versiones anteriores tienen un límite de 126 caracteres.Obligatorio: sí
<PRIVATE_KEY_ATTRIBUTES>-
Especifica una lista de atributos de clave separados por espacios para establecer la clave privada EC generada en forma de
KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE(por ejemplo,token=true).Para obtener una lista de los atributos de clave compatibles, consulte Atributos de clave de la CLI de CloudHSM.
Requerido: no
<PRIVATE_LABEL>-
Especifica la etiqueta de clave privada definida por el usuario. El tamaño máximo permitido para
labeles de 127 caracteres para Client SDK 5.11 de y versiones posteriores. Client SDK 5.10 y versiones anteriores tienen un límite de 126 caracteres.Obligatorio: sí
<SESSION>-
Crea una clave que solo existe en la sesión actual. La clave no se podrá recuperar una vez finalizada la sesión.
Utilice este parámetro cuando necesite una clave solo brevemente, por ejemplo, una clave de encapsulamiento que cifre y, a continuación, descifre rápidamente otra clave. No utilice una clave de sesión para cifrar los datos que pueda necesitar descifrar una vez finalizada la sesión.
De forma predeterminada, las claves que se generan son claves persistentes (token). La transferencia a <SESSION> cambia este estado, lo que garantiza que la clave generada con este argumento sea una clave de sesión (efímera).
Requerido: no
Temas relacionados de
