Chiffrez et décryptez n'importe quel fichier en utilisant AWS CloudHSM KMU - AWS CloudHSM
SyntaxeExemplesParamètresRubriques en relation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrez et décryptez n'importe quel fichier en utilisant AWS CloudHSM KMU

Utilisez la aesWrapUnwrap commande dans AWS CloudHSM key_mgmt_util pour chiffrer ou déchiffrer le contenu d'un fichier sur le disque. Cette commande est conçue pour encapsuler ou désencapsuler les clés de chiffrement, mais vous pouvez l'utiliser sur n'importe quel fichier qui contient moins de 4 Ko (4 096 octets) de données.

aesWrapUnwraputilise AESKey Wrap. Il utilise une AES clé sur le HSM comme clé d'emballage ou de déballage. Ensuite, il écrit le résultat dans un autre fichier sur le disque.

Avant d'exécuter une commande key_mgmt_util, vous devez démarrer key_mgmt_util et vous connecter en tant qu'utilisateur cryptographique (CU). HSM

Syntaxe

aesWrapUnwrap -h

aesWrapUnwrap -m <wrap-unwrap mode>
              -f <file-to-wrap-unwrap> 
              -w <wrapping-key-handle>               
              [-i <wrapping-IV>] 
              [-out <output-file>]

Exemples

Ces exemples illustrent comment utiliser aesWrapUnwrap pour chiffrer et déchiffrer une clé de chiffrement dans un fichier.

Exemple : Encapsuler une clé de chiffrement

Cette commande permet aesWrapUnwrap d'encapsuler une clé DES symétrique triple exportée depuis le texte brut HSM dans le 3DES.key fichier. Vous pouvez utiliser une commande similaire pour encapsuler n'importe quelle clé enregistrée dans un fichier.

La commande utilise le paramètre -m avec la valeur 1 pour indiquer le mode d'encapsulage. Il utilise le -w paramètre pour spécifier une AES clé dans le HSM (manche de touche6) comme clé d'encapsulation. Elle écrit la clé encapsulée obtenue dans le fichier 3DES.key.wrapped.

La sortie indique que la commande a réussi et que l'opération a utilisé la valeur initiale par défaut, qui est préférable.

 Command:  aesWrapUnwrap -f 3DES.key -w 6 -m 1 -out 3DES.key.wrapped

        Warning: IV (-i) is missing.
                 0xA6A6A6A6A6A6A6A6 is considered as default IV
result data:
49 49 E2 D0 11 C1 97 22
17 43 BD E3 4E F4 12 75
8D C1 34 CF 26 10 3A 8D
6D 0A 7B D5 D3 E8 4D C2
79 09 08 61 94 68 51 B7

result written to file 3DES.key.wrapped

        Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS
Exemple : Désencapsuler une clé de chiffrement

Cet exemple montre comment utiliser aesWrapUnwrap pour désencapsuler (déchiffrer) une clé encapsulée (chiffrée) dans un fichier. Vous souhaiterez peut-être effectuer une opération comme celle-ci avant d'importer une clé dans leHSM. Par exemple, si vous essayez d'utiliser la imSymKeycommande pour importer une clé chiffrée, elle renvoie une erreur car la clé chiffrée n'a pas le format requis pour une clé en texte brut de ce type.

La commande désencapsule la clé dans le fichier 3DES.key.wrapped et écrit le texte brut dans le fichier 3DES.key.unwrapped. La commande utilise le paramètre -m avec la valeur 0 pour indiquer le mode de désencapsulage. Il utilise le -w paramètre pour spécifier une AES clé dans le HSM (manche de touche6) comme clé d'encapsulation. Elle écrit la clé encapsulée obtenue dans le fichier 3DES.key.unwrapped. 

 Command:  aesWrapUnwrap -m 0 -f 3DES.key.wrapped -w 6 -out 3DES.key.unwrapped

        Warning: IV (-i) is missing.
                 0xA6A6A6A6A6A6A6A6 is considered as default IV
result data:
14 90 D7 AD D6 E4 F5 FA
A1 95 6F 24 89 79 F3 EE
37 21 E6 54 1F 3B 8D 62

result written to file 3DES.key.unwrapped

        Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS

Paramètres

-h

Affiche l'aide concernant la commande.

Obligatoire : oui

-m

Spécifie le mode. Pour encapsuler (chiffrer) le contenu du fichier, tapez 1 ; pour désencapsuler (déchiffrer) le contenu du fichier, tapez 0.

Obligatoire : oui

-f

Spécifie le fichier à encapsuler. Entrez un fichier contenant moins de 4 Ko (4 096 octets) de données. Cette opération est conçue pour encapsuler et désencapsuler les clés de chiffrement.

Obligatoire : oui

-s, sem

Spécifie la clé d'encapsulage. Entrez le manche d'une AES touche sur leHSM. Ce paramètre est obligatoire. Pour trouver les poignées de touches, utilisez la findKeycommande.

Pour créer une clé d'encapsulation, genSymKeyutilisez-la pour générer une AES clé (type 31).

Obligatoire : oui

-i

Spécifie une autre valeur initiale (IV) pour l'algorithme. Utilisez la valeur par défaut, sauf si des conditions particulières nécessitent une alternative.

Par défaut: 0xA6A6A6A6A6A6A6A6. La valeur par défaut est définie dans la spécification de l'algorithme AESKey Wrap.

Obligatoire : non

-out

Spécifie un autre nom pour le fichier de sortie qui contient la clé encapsulée ou désencapsulée. La valeur par défaut est wrapped_key (pour les opérations d'encapsulage) et unwrapped_key (pour les opérations de désencapsulage) dans le répertoire local.

Si le fichier existe, la commande aesWrapUnwrap le remplace sans avertissement. Si la commande échoue, aesWrapUnwrap crée un fichier de sortie sans contenu.

Par défaut : pour l'encapsulage : wrapped_key. Pour le désencapsulage : unwrapped_key.

Obligatoire : non

Rubriques en relation