Mengenkripsi dan mendekripsi file menggunakan AWS CloudHSM KMU - AWS CloudHSM
SintaksContohParameterTopik terkait

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengenkripsi dan mendekripsi file menggunakan AWS CloudHSM KMU

Gunakan aesWrapUnwrap perintah di AWS CloudHSM key_mgmt_util untuk mengenkripsi atau mendekripsi isi file pada disk. Perintah ini dirancang untuk membungkus dan membuka kunci enkripsi, tetapi Anda dapat menggunakannya pada file yang berisi kurang dari 4 KB (4096 byte) data.

aesWrapUnwrapmenggunakan AESKey Wrap. Ini menggunakan AES kunci pada HSM sebagai kunci pembungkus atau membuka pembungkus. Kemudian, hasilnya ditulis ke file lain pada disk.

Sebelum Anda menjalankan perintah key_mgmt_util, Anda harus memulai key_mgmt_util dan masuk ke as a crypto user (CU). HSM

Sintaks

aesWrapUnwrap -h

aesWrapUnwrap -m <wrap-unwrap mode>
              -f <file-to-wrap-unwrap> 
              -w <wrapping-key-handle>               
              [-i <wrapping-IV>] 
              [-out <output-file>]

Contoh

Contoh ini menunjukkan cara menggunakan aesWrapUnwrap untuk mengenkripsi dan mendekripsi kunci enkripsi dalam sebuah file.

contoh : Bungkus kunci enkripsi

Perintah ini digunakan aesWrapUnwrap untuk membungkus kunci DES simetris Triple yang diekspor dari HSM in plaintext ke dalam file. 3DES.key Anda dapat menggunakan perintah yang sama untuk membungkus kunci yang disimpan dalam file.

Perintah menggunakan parameter -m dengan nilai 1 untuk mengindikasikan mode bungkus. Ini menggunakan -w parameter untuk menentukan AES kunci di HSM (pegangan kunci6) sebagai kunci pembungkus. Ini menulis hasil kunci dibungkus untuk file 3DES.key.wrapped.

Output menunjukkan bahwa perintah berhasil dan bahwa operasi menggunakan IV default, yang lebih disukai.

 Command:  aesWrapUnwrap -f 3DES.key -w 6 -m 1 -out 3DES.key.wrapped

        Warning: IV (-i) is missing.
                 0xA6A6A6A6A6A6A6A6 is considered as default IV
result data:
49 49 E2 D0 11 C1 97 22
17 43 BD E3 4E F4 12 75
8D C1 34 CF 26 10 3A 8D
6D 0A 7B D5 D3 E8 4D C2
79 09 08 61 94 68 51 B7

result written to file 3DES.key.wrapped

        Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS
contoh : Buka kunci enkripsi

Contoh ini menunjukkan cara menggunakan aesWrapUnwrap untuk membuka (mendekripsi) kunci yang dibungkus (terenkripsi) dalam sebuah file. Anda mungkin ingin melakukan operasi seperti ini sebelum mengimpor kunci ke file. HSM Misalnya, jika Anda mencoba menggunakan imSymKeyperintah untuk mengimpor kunci terenkripsi, itu mengembalikan kesalahan karena kunci terenkripsi tidak memiliki format yang diperlukan untuk kunci teks biasa dari jenis itu.

Perintah membuka kunci dalam 3DES.key.wrapped dan menulis plaintext ke file 3DES.key.unwrapped. Perintah menggunakan parameter -m dengan nilai 0 untuk mengindikasikan mode buka. Ini menggunakan -w parameter untuk menentukan AES kunci di HSM (pegangan kunci6) sebagai kunci pembungkus. Ini menulis hasil kunci dibungkus untuk file 3DES.key.unwrapped. 

 Command:  aesWrapUnwrap -m 0 -f 3DES.key.wrapped -w 6 -out 3DES.key.unwrapped

        Warning: IV (-i) is missing.
                 0xA6A6A6A6A6A6A6A6 is considered as default IV
result data:
14 90 D7 AD D6 E4 F5 FA
A1 95 6F 24 89 79 F3 EE
37 21 E6 54 1F 3B 8D 62

result written to file 3DES.key.unwrapped

        Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS

Parameter

-h

Menampilkan bantuan untuk perintah.

Wajib: Ya

-m

Menentukan mode. Untuk membungkus (mengenkripsi) isi file, ketik 1; untuk membuka (mendekripsi) isi file, ketik 0.

Wajib: Ya

-f

Menentukan file untuk dibungkus. Masukkan file yang berisi data kurang dari 4 KB (4096 byte). Operasi ini dirancang untuk membungkus dan membuka kunci enkripsi.

Wajib: Ya

-w

Menentukan kunci pembungkus. Masukkan pegangan kunci AES kunci pada tombolHSM. Parameter ini diperlukan. Untuk menemukan pegangan kunci, gunakan findKeyperintah.

Untuk membuat kunci pembungkus, gunakan genSymKeyuntuk menghasilkan AES kunci (tipe 31).

Wajib: Ya

-i

Menentukan nilai awal alternatif (IV) untuk algoritme. Gunakan nilai default kecuali Anda memiliki syarat khusus yang memerlukan alternatif.

Default: 0xA6A6A6A6A6A6A6A6. Nilai default didefinisikan dalam spesifikasi algoritma AESKey Wrap.

Wajib: Tidak

-out

Menentukan nama alternatif untuk file output yang berisi kunci terbungkus atau terbuka. Default-nya wrapped_key (untuk operasi bungkus) dan unwrapped_key (untuk operasi buka) di direktori lokal.

Jika file ada, aesWrapUnwrap menimpa tanpa peringatan. Jika perintah gagal, aesWrapUnwrap membuat sebuah file output tanpa isi.

Default: Untuk bungkus: wrapped_key. Untuk membuka: unwrapped_key.

Wajib: Tidak

Topik terkait