Exportar una clave privada de AWS CloudHSM con la KMU - AWS CloudHSM

Exportar una clave privada de AWS CloudHSM con la KMU

Use el comando exportPrivateKey de la key_mgmt_util del AWS CloudHSM para exportar una clave privada y asimétrica desde un módulo de seguridad de hardware (HSM) a un archivo. El HSM no permite la exportación directa de claves en texto sin cifrar. El comando encapsula la clave privada con una clave de encapsulamiento AES que usted especifique, descifra los bytes encapsulados y copia la clave privada de texto sin cifrar en un archivo.

El comando exportPrivateKey no elimina la clave del HSM, no cambia sus atributos de clave ni le impide a usted utilizar la clave en operaciones criptográficas posteriores. Puede exportar la misma clave varias veces.

Solo puede exportar claves privadas que tengan un atributo OBJ_ATTR_EXTRACTABLE con valor 1. Debe especificar una clave de encapsulamiento AES que tenga los atributos OBJ_ATTR_WRAP y OBJ_ATTR_DECRYPT con valor 1. Para buscar los atributos de una clave, utilice el comando getAttribute.

Antes de ejecutar cualquier comando de key_mgmt_util, debe iniciar key_mgmt_util e lniciar sesión en el HSM como usuario de criptografía (CU).

Sintaxis

exportPrivateKey -h exportPrivateKey -k <private-key-handle -w <wrapping-key-handle> -out <key-file> [-m <wrapping-mechanism>] [-wk <wrapping-key-file>]

Ejemplos

Este ejemplo muestra cómo utilizar exportPrivateKey para exportar una clave privada de un HSM.

ejemplo : exportación de una clave privada

Este comando exporta la clave privada con el identificador 15 utilizando una clave de encapsulación con el identificador 16 a un archivo PEM denominado exportKey.pem. Cuando el comando se ejecuta correctamente, exportPrivateKey devuelve un mensaje de confirmación.

Command: exportPrivateKey -k 15 -w 16 -out exportKey.pem Cfm3WrapKey returned: 0x00 : HSM Return: SUCCESS Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS PEM formatted private key is written to exportKey.pem

Parámetros

Este comando admite los siguientes parámetros.

-h

Muestra la ayuda de la línea de comando para el comando.

Obligatorio: sí

-k

Especifica el identificador de clave de la clave privada que se va a exportar.

Obligatorio: sí

-w

Especifica el identificador de la clave de encapsulamiento. Este parámetro es obligatorio. Para buscar identificadores de clave, utilice el comando findKey.

Para determinar si una clave se puede utilizar como clave de encapsulación, utilice getAttribute para obtener el valor del atributo OBJ_ATTR_WRAP (262). Para crear una clave de encapsulación, utilice genSymKey para crear una clave AES (de tipo 31).

Si utiliza el parámetro -wk para especificar una clave de desencapsulación externa, la clave de encapsulación -w se utiliza para encapsular, pero no para desencapsular, la clave durante la exportación.

Obligatorio: sí

-out

Especifica el nombre del archivo en el que se escribirá la clave privada exportada.

Obligatorio: sí

-m

Especifica el mecanismo de encapsulación que se aplicará a la clave privada que se va a exportar. El único valor válido es 4, que representa el mecanismo NIST_AES_WRAP mechanism.

Valor predeterminado: 4 (NIST_AES_WRAP)

Requerido: no

-wk

Especifica la clave que se utilizará para desencapsular la clave que se está exportando. Escriba la ruta y el nombre de un archivo que contenga una clave AES sin cifrar.

Si se incluye este parámetro, exportPrivateKey utiliza la clave del archivo especificado en el parámetro -w para encapsular la clave que se va a exportar y utiliza la clave especificada con el parámetro -wk para desencapsularla.

Valor predeterminado: utilizar la clave de encapsulación especificada en el parámetro -w para encapsular y desencapsular.

Requerido: no

Temas relacionados de