Configurar los atributos de claves del AWS CloudHSM mediante la KMU

Use el comando setAttribute en la key_mgmt_util del AWS CloudHSM para convertir una clave que es válida únicamente en la sesión actual en una clave persistente que existirá hasta que la elimine. El comando realiza esta operación cambiando el valor de atributo de token de la clave (OBJ_ATTR_TOKEN) de falso (0) a verdadero (1). Solo puede cambiar los atributos de claves de su propiedad.

También puede utilizar el comando setAttribute de cloudhsm_mgmt_util para cambiar la etiqueta, encapsular, desencapsular, cifrar y descifrar atributos.

Antes de ejecutar cualquier comando de key_mgmt_util, debe iniciar key_mgmt_util e lniciar sesión en el HSM como usuario de criptografía (CU).

Sintaxis

setAttribute -h 

setAttribute -o <object handle> 
             -a 1
    

Ejemplo

En este ejemplo se muestra cómo convertir una clave de sesión en una clave persistente.

El primer comando utiliza el parámetro -sess de genSymKey para crear una clave AES válida de 192 bits que es válida únicamente en la sesión actual. La salida muestra que el indicador de la clave de la nueva sesión es 262154.

Command: genSymKey -t 31 -s 24 -l tmpAES -sess
      
        Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS

        Symmetric Key Created.  Key Handle: 262154

        Cluster Error Status
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS 

Este comando utiliza findKey para encontrar las claves de sesión de la sesión actual. La salida verifica que la clave 262154 es una clave de sesión.

Command:  findKey -sess 1

Total number of keys present 1

 number of keys matched from start index 0::0
262154

        Cluster Error Status
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

        Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS

Este comando utiliza setAttribute para convertir la clave de sesión 262154 en una clave persistente. Para ello, cambia el valor del atributo de token (OBJ_ATTR_TOKEN) de la clave, de 0 (falso) a 1 (verdadero). Para obtener ayuda para interpretar los atributos de clave, consulte la Referencia de atributos de claves de AWS CloudHSM para la KMU.

El comando utiliza el parámetro -o para especificar el indicador de clave (262154) y el parámetro -a para especificar la constante que representa el atributo de token (1). Cuando ejecuta el comando, este le solicita un valor para el atributo de token. El único valor válido es 1 (verdadero), el valor de una clave persistente.

Command: setAttribute -o 262154 -a 1
         This attribute is defined as a boolean value.
          Enter the boolean attribute value (0 or 1):1

        Cfm3SetAttribute returned: 0x00 : HSM Return: SUCCESS

        Cluster Error Status
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

Para confirmar que la clave 262154 es ahora persistente, este comando busca claves de sesión (-sess 1) y claves persistentes (-sess 0) utilizando findKey. Esta vez el comando no encuentra claves de sesión, pero devuelve 262154 en la lista de claves persistentes.

Command: findKey -sess 1

Total number of keys present 0

        Cluster Error Status
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

        Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS



Command: findKey -sess 0

Total number of keys present 5

 number of keys matched from start index 0::4
6, 7, 524296, 9, 262154

        Cluster Error Status
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

        Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS

Parámetros

Temas relacionados de