Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Enveloppez une clé avec RSA - AES en utilisant Cloud HSM CLI
Utilisez la key wrap rsa-aes commande dans le cloud HSM CLI pour encapsuler une clé de charge utile à l'aide d'une clé RSA publique sur le module de sécurité matériel (HSM) et sur le RSA mécanisme AES d'encapsulation. L'extractable
attribut de la clé de charge utile doit être défini sur. true
Seul le propriétaire d'une clé, c'est-à-dire l'utilisateur cryptographique (CU) qui a créé la clé, peut encapsuler la clé. Les utilisateurs qui partagent la clé peuvent l'utiliser dans des opérations cryptographiques.
Pour utiliser la key wrap rsa-aes commande, vous devez d'abord disposer d'une RSA clé dans votre AWS CloudHSM cluster. Vous pouvez générer une paire de RSA clés à l'aide de la La generate-asymmetric-pair catégorie dans le cloud HSM CLI commande et de l'wrap
attribut définis sur. true
Type utilisateur
Les types d'utilisateur suivants peuvent exécuter cette commande.
-
Utilisateurs de cryptomonnaies (CUs)
Prérequis
-
Pour exécuter cette commande, vous devez être connecté en tant que CU.
Syntaxe
aws-cloudhsm >
help key wrap rsa-aes
Usage: key wrap rsa-aes [OPTIONS] --payload-filter [
<PAYLOAD_FILTER>
...] --wrapping-filter [<WRAPPING_FILTER>
...] --hash-function<HASH_FUNCTION>
--mgf<MGF>
Options: --cluster-id<CLUSTER_ID>
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --payload-filter [<PAYLOAD_FILTER>
...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key --wrapping-filter [<WRAPPING_FILTER>
...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key --path<PATH>
Path to the binary file where the wrapped key data will be saved --hash-function<HASH_FUNCTION>
Hash algorithm [possible values: sha1, sha224, sha256, sha384, sha512] --mgf<MGF>
Mask Generation Function algorithm [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512] -h, --help Print help
Exemple
Cet exemple montre comment utiliser la key wrap rsa-ae commande à l'aide d'une clé RSA publique dont la valeur wrap
d'attribut est définie surtrue
.
aws-cloudhsm >
key wrap rsa-aes --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example --hash-function sha256 --mgf mgf1-sha256
{ "error_code": 0, "data": { "payload-key-reference": "0x00000000001c08f1", "wrapping-key-reference": "0x00000000007008da", "wrapped-key-data": "HrSE1DEyLjIeyGdPa9R+ebiqB5TIJGyamPker31ZebPwRA+NcerbAJO8DJ1lXPygZcI21vIFSZJuWMEiWpe1R9D/5WSYgxLVKex30xCFqebtEzxbKuv4DOmU4meSofqREYvtb3EoIKwjyxCMRQFgoyUCuP4y0f0eSv0k6rSJh4NuCsHptXZbtgNeRcR4botN7LlzkEIUcq4fVHaatCwd0J1QGKHKyRhkol+RL5WGXKe4nAboAkC5GO7veI5yHL1SaKlssSJtTL/CFpbSLsAFuYbv/NUCWwMY5mwyVTCSlw+HlgKK+5TH1MzBaSi8fpfyepLT8sHy2Q/VRl6ifb49p6m0KQFbRVvz/OWUd6l4d97BdgtaEz6ueg==" } }
Arguments
<CLUSTER_ID>
-
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été configurés.
<PAYLOAD_FILTER>
-
Référence clé (par exemple,
key-reference=0xabc
) ou liste séparée par des espaces d'attributs clés sous la forme deattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
pour sélectionner une clé de charge utile.Obligatoire : oui
<PATH>
-
Chemin d'accès au fichier binaire dans lequel les données clés encapsulées seront enregistrées.
Obligatoire : non
<WRAPPING_FILTER>
-
Référence clé (par exemple,
key-reference=0xabc
) ou liste d'attributs clés séparés par des espaces sous la forme deattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
pour sélectionner une clé d'encapsulation.Obligatoire : oui
<MGF>
-
Spécifie la fonction de génération de masques.
Note
La fonction de hachage de la fonction de génération de masque doit correspondre à la fonction de hachage du mécanisme de signature.
Valeurs valides
mgf1-sha1
mgf1-sha225
mgf1-sha255
mgf1-sha385
mgf1-sha512
Obligatoire : oui