Rechercher des AWS CloudHSM clés par attributs à l'aide de KMU - AWS CloudHSM
SyntaxeExemplesParamètresSortieRubriques en relation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rechercher des AWS CloudHSM clés par attributs à l'aide de KMU

Utilisez la findKey commande du AWS CloudHSM key_mgmt_util pour rechercher des clés en fonction des valeurs des attributs clés. Lorsqu'une clé correspond à tous les critères définis, findKey renvoie le handle de clé. Sans paramètre, findKey renvoie les handles de clé pour toutes les clés que vous pouvez utiliser dans le HSM. Pour rechercher les valeurs d'attribut d'une clé particulière, utilisez getAttribute.

Comme toutes les commandes key_mgmt_util, findKey est spécifique à chaque utilisateur. Elle renvoie uniquement les clés que l'utilisateur actuel peut utiliser dans des opérations de chiffrement. Cela comprend les clés qui appartiennent à l'utilisateur actuel, ainsi que celles qu'il partage.

Avant d'exécuter une commande key_mgmt_util, vous devez démarrer key_mgmt_util et vous connecter au HSM en tant qu'utilisateur de chiffrement (CU).

Syntaxe

findKey -h 

findKey [-c <key class>] 
        [-t <key type>]
        [-l <key label>] 
        [-id <key ID>]
        [-sess (0 | 1)] 
        [-u <user-ids>]
        [-m <modulus>]
        [-kcv <key_check_value>]

Exemples

Ces exemples montrent comment les utiliser findKey pour rechercher et identifier les clés de votre HSMs.

Exemple : Rechercher toutes les clés

Cette commande recherche toutes les clés pour l'utilisateur actuel dans le HSM. La sortie inclut les clés que l'utilisateur possède et partage, ainsi que toutes les clés publiques du HSMs.

Pour obtenir les attributs d'une clé avec un handle de clé particulier, utilisez getAttribute. Pour déterminer si l'utilisateur actuel possède ou partage une clé particulière, utilisez getKeyInfoou findAllKeysdans cloudhsm-mgmt_util.

Command: findKey

Total number of keys present 13

 number of keys matched from start index 0::12
6, 7, 524296, 9, 262154, 262155, 262156, 262157, 262158, 262159, 262160, 262161, 262162

        Cluster Error Status
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

        Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS
Exemple : Rechercher des clés par type, par utilisateur et par session

Cette commande recherche les clés AES persistantes que l'utilisateur actuel et l'utilisateur 3 peuvent utiliser. (L'utilisateur 3 peut être en mesure d'utiliser d'autres clés que l'utilisateur actuel ne peut pas voir.)

Command: findKey -t 31 -sess 0 -u 3
Exemple : Rechercher des clés par classe et par étiquette

Cette commande recherche toutes les clés pour l'utilisateur actuel avec l'étiquette 2018-sept.

Command: findKey -c 2 -l 2018-sept
Exemple : Rechercher des clés RSA par module

Cette commande recherche les clés RSA (type 0) pour l'utilisateur actuel qui ont été créées à l'aide du module dans le fichier m4.txt.

Command: findKey -t 0 -m m4.txt

Paramètres

-h

Affiche l'aide concernant la commande.

Obligatoire : oui

-t

Recherche les clés du type spécifié. Entrez la constante qui représente la classe de clé. Par exemple, pour rechercher les clés 3DES, tapez -t 21.

Valeurs valides :

Obligatoire : non

-c

Recherche les clés de la classe spécifiée. Entrez la constante qui représente la classe de clé. Par exemple, pour rechercher les clés publiques, tapez -c 2.

Valeurs valides pour chaque type de clé :

  • 2 : Publique. Cette classe contient les clés publiques des paires de clés publique-privée.

  • 3 : Privée. Cette classe contient les clés privées des paires de clés publique-privée.

  • 4 : Secrète. Cette classe contient toutes les clés symétriques.

Obligatoire : non

-l

Recherche les clés avec l'étiquette spécifiée. Saisissez l'étiquette exacte. Vous ne pouvez pas utiliser de caractère générique ou d'expression régulière dans la valeur --l.

Obligatoire : non

-id

Recherche la clé avec l'ID spécifié. Tapez la chaîne d'ID exacte. Vous ne pouvez pas utiliser de caractère générique ou d'expression régulière dans la valeur -id.

Obligatoire : non

-sess

Recherche les clés par statut de session. Pour trouver les clés valides uniquement dans la session en cours, tapez 1. Pour rechercher les clés persistantes, tapez 0.

Obligatoire : non

-u

Recherche les clés partagées par les utilisateurs spécifiés et l'utilisateur actuel. Tapez une liste d'utilisateurs HSM séparée par des virgules IDs, telle que ou. -u 3 -u 4,7 Pour rechercher les utilisateurs IDs d'un HSM, utilisez ListUsers.

Lorsque vous spécifiez un ID utilisateur, findKey renvoie les clés pour cet utilisateur. Lorsque vous spécifiez plusieurs utilisateurs IDs, findKey renvoie les clés que tous les utilisateurs spécifiés peuvent utiliser.

Dans la mesure où findKey renvoie uniquement les clés que l'utilisateur actuel peut utiliser, les résultats de -u correspondent toujours à tout ou partie des clés de l'utilisateur actuel. Pour obtenir toutes les clés détenues ou partagées avec n'importe quel utilisateur, les agents de chiffrement (COs) peuvent les utiliser findAllKeysdans cloudhsm-mgmt_util.

Obligatoire : non

-m

Recherche les clés créées à l'aide du module RSA dans le fichier spécifié. Tapez le chemin d'accès au fichier qui stocke le module.

-m spécifie le fichier binaire contenant le module RSA avec lequel correspondre (facultatif).

Obligatoire : non

-kcv

Recherche les clés avec la valeur de contrôle de clé spécifiée.

La valeur de contrôle de clé (KCV) est un hachage ou une somme de contrôle sur 3 octets d'une clé qui est générée lorsque le HSM importe ou génère une clé. Vous pouvez également calculer un KCV en dehors du HSM, par exemple après avoir exporté une clé. Vous pouvez ensuite comparer les valeurs KCV pour confirmer l'identité et l'intégrité de la clé. Pour obtenir le KCV d'une clé, utilisez getAttribute.

AWS CloudHSM utilise la méthode standard suivante pour générer une valeur de contrôle clé :

  • Clés symétriques : les 3 premiers octets du résultat du chiffrement d'un bloc zéro avec la clé.

  • Paires de clés asymétriques : les 3 premiers octets du hachage SHA-1 de la clé publique.

  • Clés HMAC : la KCV pour les clés HMAC n'est pas prise en charge pour le moment.

Obligatoire : non

Sortie

La sortie findKey répertorie le nombre total de clés correspondantes et leurs handles de clé.

        Command:  findKey
Total number of keys present 10

 number of keys matched from start index 0::9
6, 7, 8, 9, 10, 11, 262156, 262157, 262158, 262159

        Cluster Error Status
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 2 and err state 0x00000000 : HSM Return: SUCCESS

        Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS

Rubriques en relation