Desempaquetar una clave con el AES-ZERO-PAD uso de Cloud HSM CLI - AWS CloudHSM
Tipo de usuarioRequisitosSintaxisEjemplosArgumentosTemas relacionados de

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Desempaquetar una clave con el AES-ZERO-PAD uso de Cloud HSM CLI

Usa el key unwrap aes-zero-pad comando en Cloud HSM CLI para desempaquetar una clave de carga útil en el AWS CloudHSM clúster mediante la clave de empaquetado y el mecanismo de AES desempaquetado. AES-ZERO-PAD

Las claves no empaquetadas se pueden usar de la misma manera que las claves generadas por. AWS CloudHSM Para indicar que no se generaron localmente, su atributo local se establece en false.

Para usar el key unwrap aes-no-pad comando, debe tener la clave de AES empaquetado en su AWS CloudHSM clúster y su unwrap atributo debe estar true establecido en.

Tipo de usuario

Los tipos de usuarios siguientes pueden ejecutar este comando.

  • Usuarios criptográficos (CUs)

Requisitos

  • Para ejecutar este comando, debe iniciar sesión como CU.

Sintaxis

aws-cloudhsm > help key unwrap aes-zero-pad
Usage: key unwrap aes-zero-pad [OPTIONS] --filter [<FILTER>...] --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help

Ejemplos

En estos ejemplos se muestra cómo utilizar el key unwrap aes-zero-pad comando mediante una AES clave con el valor del unwrap atributo establecido entrue.

ejemplo Ejemplo: desempaquete una clave de carga útil de los datos clave empaquetados y codificados en Base64
aws-cloudhsm > key unwrap aes-zero-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data L1wVlL/YeBNVAw6Mpk3owFJZXBzDLONt
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08e7",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
ejemplo Ejemplo: desempaquete una clave de carga útil proporcionada a través de una ruta de datos
aws-cloudhsm > key unwrap aes-zero-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08e7",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}

Argumentos

<CLUSTER_ID>

El ID del clúster en el que se va a ejecutar esta operación.

Obligatorio: si se han configurado varios clústeres.

<FILTER>

Referencia de clave (por ejemplo, key-reference=0xabc) o lista de atributos clave separados por espacios en forma de attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE para seleccionar una clave con la que se desempaquetará.

Obligatorio: sí

<DATA_PATH>

Ruta al archivo binario que contiene los datos clave empaquetados.

Obligatorio: Sí (a menos que se proporcione mediante datos codificados en Base64)

<DATA>

Datos clave empaquetados y codificados en Base64.

Obligatorio: Sí (a menos que se proporcione por la ruta de datos)

<ATTRIBUTES>

Lista de atributos clave separados por espacios en forma de KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE para la clave empaquetada.

Obligatorio: no

<KEY_TYPE_CLASS>

Tipo de clave y clase de clave empaquetada [valores posibles: aes, des3, ec-private, generic-secret, rsa-private].

Obligatorio: sí

<LABEL>

Etiqueta para la clave desempaquetada.

Obligatorio: sí

<SESSION>

Crea una clave de sesión que solo existe en la sesión actual. La clave no se podrá recuperar una vez finalizada la sesión.

Obligatorio: no

<APPROVAL>

Especifica la ruta de archivo de token de cuórum firmado para aprobar la operación. Solo es necesario si el valor de quórum del servicio de administración de claves de la clave de desempaquetado es superior a 1.

Temas relacionados de