Type utilisateur Prérequis Syntaxe Exemples Arguments Rubriques en relation

clé unwrap rsa-oaep

La key unwrap rsa-oaep commande déballe une clé de charge utile à l'aide de la clé privée RSA et du mécanisme de déballage. RSA-OAEP

Les clés non emballées peuvent être utilisées de la même manière que les clés générées par AWS CloudHSM. Pour indiquer qu'ils n'ont pas été générés localement, leur local attribut est défini surfalse.

Pour utiliser la key unwrap rsa-oaep commande, vous devez disposer de la clé privée RSA de la clé d'encapsulation publique RSA dans votre AWS CloudHSM cluster, et son unwrap attribut doit être défini sur. true

Type utilisateur

Les types d'utilisateur suivants peuvent exécuter cette commande.

Utilisateurs de chiffrement (CU)

Prérequis

Pour exécuter cette commande, vous devez être connecté en tant que CU.

Syntaxe


aws-cloudhsm > help key unwrap rsa-oaep
Usage: key unwrap rsa-oaep [OPTIONS] --filter [<FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF> --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <<DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --hash-function <HASH_FUNCTION>
          Hash algorithm [possible values: sha1, sha224, sha256, sha384, sha512]
      --mgf <MGF>
          Mask Generation Function algorithm [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
  -h, --help
          Print help

Exemples

Ces exemples montrent comment utiliser la key unwrap rsa-oaep commande à l'aide de la clé privée RSA avec la valeur unwrap d'attribut définie sur. true

Exemple : désencapsuler une clé de charge utile à partir de données clés encapsulées codées en Base64


aws-cloudhsm > key unwrap rsa-oaep --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-example-key --hash-function sha256 --mgf mgf1-sha256 --data OjJe4msobPLz9TuSAdULEu17T5rMDWtSlLyBSkLbaZnYzzpdrhsbGLbwZJCtB/jGkDNdB4qyTAOQwEpggGf6v+Yx6JcesNeKKNU8XZal/YBoHC8noTGUSDI2qr+u2tDc84NPv6d+F2KOONXsSxMhmxzzNG/gzTVIJhOuy/B1yHjGP4mOXoDZf5+7f5M1CjxBmz4Vva/wrWHGCSG0yOaWblEvOiHAIt3UBdyKmU+/My4xjfJv7WGGu3DFUUIZ06TihRtKQhUYU1M9u6NPf9riJJfHsk6QCuSZ9yWThDT9as6i7e3htnyDhIhGWaoK8JU855cN/YNKAUqkNpC4FPL3iw==
{
  "data": {
    "key": {
      "key-reference": "0x00000000001808e9",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}

Exemple : désencapsuler une clé de charge utile fournie via un chemin de données


aws-cloudhsm > key unwrap rsa-oaep --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-example-key --hash-function sha256 --mgf mgf1-sha256 --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001808e9",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}

Arguments

<CLUSTER_ID>

ID du cluster sur lequel exécuter cette opération.

Obligatoire : si plusieurs clusters ont été configurés.

<FILTER>

Référence clé (par exemple,key-reference=0xabc) ou liste séparée par des espaces d'attributs clés sous la forme de attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE pour sélectionner une clé à utiliser pour le déballage.

Obligatoire : oui

<DATA_PATH>

Chemin d'accès au fichier binaire contenant les données clés encapsulées.

Obligatoire : Oui (sauf si fourni via des données codées en Base64)

<DATA>

Données clés encapsulées codées en Base64.

Obligatoire : Oui (sauf indication contraire via le chemin de données)

<ATTRIBUTES>

Liste d'attributs clés séparés par des espaces sous la forme de KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE pour la clé encapsulée.

Obligatoire : non

<KEY_TYPE_CLASS>

Type de clé et classe de clé encapsulée [valeurs possibles :aes,des3,ec-private,generic-secret,rsa-private].

Obligatoire : oui

<HASH_FUNCTION>

Spécifie la fonction de hachage.

Valeurs valides :

sha1
sha224
sha256
sha384
sha512

Obligatoire : oui

<MGF>

Spécifie la fonction de génération de masques.

Note

La fonction de hachage de la fonction de génération de masque doit correspondre à la fonction de hachage du mécanisme de signature.

Valeurs valides :

mgf1-sha1
mgf1-sha225
mgf1-sha255
mgf1-sha385
mgf1-sha512

Obligatoire : oui

<LABEL>

Étiquette pour la clé déballée.

Obligatoire : oui

<SESSION>

Crée une clé de session qui n'existe que dans la session en cours. La clé ne peut pas être récupérée une fois la session terminée.

Obligatoire : non

Rubriques en relation

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

rsa-aes

rsa-pkcs