Empaquetar una clave con RSA-AES mediante la CLI de CloudHSM - AWS CloudHSM

Empaquetar una clave con RSA-AES mediante la CLI de CloudHSM

Use el comando key wrap rsa-aes de la CLI de CloudHSM para empaquetar una clave de carga útil mediante una clave pública RSA en el módulo de seguridad de hardware (HSM) y el mecanismo de empaquetado RSA-AES. El atributo extractable de la clave de carga útil se debe establecer en true.

Solo el propietario de una clave, es decir, el usuario de criptografía (CU) que creó la clave, puede empaquetarla. Los usuarios que comparten la clave pueden usarla en operaciones criptográficas.

Para usar el comando key wrap rsa-aes, primero debe tener una clave RSA en el clúster de su AWS CloudHSM. Puede generar un par de claves RSA mediante el comando La categoría generate-asymmetric-pair en la CLI de CloudHSM con el atributo wrap establecido en true.

Tipo de usuario

Los tipos de usuarios siguientes pueden ejecutar este comando.

  • Usuarios de criptografía (CU)

Requisitos

  • Para ejecutar este comando, debe iniciar sesión como CU.

Sintaxis

aws-cloudhsm > help key wrap rsa-aes Usage: key wrap rsa-aes [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF> Options: --cluster-id <CLUSTER_ID> Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --payload-filter [<PAYLOAD_FILTER>...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key --wrapping-filter [<WRAPPING_FILTER>...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key --path <PATH> Path to the binary file where the wrapped key data will be saved --hash-function <HASH_FUNCTION> Hash algorithm [possible values: sha1, sha224, sha256, sha384, sha512] --mgf <MGF> Mask Generation Function algorithm [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512] -h, --help Print help

Ejemplo

En este ejemplo, se muestra cómo usar el comando key wrap rsa-ae mediante una clave pública RSA con el valor del atributo wrap establecido en true.

aws-cloudhsm > key wrap rsa-aes --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example --hash-function sha256 --mgf mgf1-sha256 { "error_code": 0, "data": { "payload-key-reference": "0x00000000001c08f1", "wrapping-key-reference": "0x00000000007008da", "wrapped-key-data": "HrSE1DEyLjIeyGdPa9R+ebiqB5TIJGyamPker31ZebPwRA+NcerbAJO8DJ1lXPygZcI21vIFSZJuWMEiWpe1R9D/5WSYgxLVKex30xCFqebtEzxbKuv4DOmU4meSofqREYvtb3EoIKwjyxCMRQFgoyUCuP4y0f0eSv0k6rSJh4NuCsHptXZbtgNeRcR4botN7LlzkEIUcq4fVHaatCwd0J1QGKHKyRhkol+RL5WGXKe4nAboAkC5GO7veI5yHL1SaKlssSJtTL/CFpbSLsAFuYbv/NUCWwMY5mwyVTCSlw+HlgKK+5TH1MzBaSi8fpfyepLT8sHy2Q/VRl6ifb49p6m0KQFbRVvz/OWUd6l4d97BdgtaEz6ueg==" } }

Argumentos

<CLUSTER_ID>

El ID del clúster en el que se va a ejecutar esta operación.

Obligatorio: si se han configurado varios clústeres.

<PAYLOAD_FILTER>

Referencia de clave (por ejemplo, key-reference=0xabc) o lista de atributos clave separados por espacios en forma de attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE para seleccionar una clave de carga útil.

Obligatorio: sí

<PATH>

Ruta al archivo binario donde se guardarán los datos de la clave empaquetada.

Requerido: no

<WRAPPING_FILTER>

Referencia de clave (por ejemplo, key-reference=0xabc) o lista de atributos clave separados por espacios en forma de attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE para seleccionar una clave de empaquetado.

Obligatorio: sí

<MGF>

Especifica la función de generación de máscaras.

nota

La función hash de la función de generación de máscaras debe coincidir con la función hash del mecanismo de firma.

Valores válidos

  • mgf1-sha1

  • mgf1-sha224

  • mgf1-sha256

  • mgf1-sha384

  • mgf1-sha512

Obligatorio: sí

Temas relacionados de