Ekspor AWS CloudHSM kunci menggunakan KMU - AWS CloudHSM
SintaksisContohParameterTopik terkait

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Ekspor AWS CloudHSM kunci menggunakan KMU

Gunakan wrapKey perintah di AWS CloudHSM key_mgmt_util untuk mengekspor salinan kunci simetris atau pribadi terenkripsi dari modul keamanan perangkat keras () ke file. HSM Ketika Anda menjalankanwrapKey, Anda menentukan kunci untuk ekspor, kunci pada HSM untuk mengenkripsi (bungkus) kunci yang ingin Anda ekspor, dan file output.

wrapKeyPerintah menulis kunci terenkripsi ke file yang Anda tentukan, tetapi tidak menghapus kunci dari HSM atau mencegah Anda menggunakannya dalam operasi kriptografi. Anda dapat mengekspor kunci yang sama beberapa kali.

Hanya pemilik kunci, yaitu pengguna kripto (CU) yang membuat kunci, dapat mengekspornya. Pengguna yang berbagi kunci dapat menggunakannya dalam operasi kriptografi, tetapi mereka tidak dapat mengekspornya.

Untuk mengimpor kunci terenkripsi kembali keHSM, gunakan. unWrapKey Untuk mengekspor kunci plaintext dariHSM, gunakan exSymKeyatau yang exportPrivateKeysesuai. aesWrapUnwrapPerintah tidak dapat mendekripsi (membuka) kunci yang mengenkripsi. wrapKey

Sebelum Anda menjalankan perintah key_mgmt_util, Anda harus memulai key_mgmt_util dan masuk ke as a crypto user (CU). HSM

Sintaksis

wrapKey -h

wrapKey -k <exported-key-handle>
        -w <wrapping-key-handle>
        -out <output-file>
        [-m <wrapping-mechanism>]
        [-aad <additional authenticated data filename>]
        [-t <hash-type>]
        [-noheader]
        [-i <wrapping IV>]  
        [-iv_file <IV file>]
        [-tag_size <num_tag_bytes>>]

Contoh

Perintah ini mengekspor kunci simetris Triple DES (3DES) 192-bit (pegangan kunci). 7 Ini menggunakan AES kunci 256-bit di HSM (pegangan kunci14) untuk membungkus kunci. 7 Kemudian, ia menulis DES kunci 3 terenkripsi ke file. 3DES-encrypted.key

Output menunjukkan bahwa kunci 7 (DEStombol 3) berhasil dibungkus dan ditulis ke file yang ditentukan. Kunci terenkripsi mempunyai panjang 307 byte.

        Command:  wrapKey -k 7 -w 14 -out 3DES-encrypted.key -m 4

        Key Wrapped.

        Wrapped Key written to file "3DES-encrypted.key length 307

        Cfm2WrapKey returned: 0x00 : HSM Return: SUCCESS

Parameter

-h

Menampilkan bantuan untuk perintah.

Wajib: Ya

-k

Handel kunci dari kunci yang ingin Anda ekspor. Masukkan handel kunci dari kunci simetris atau privat yang Anda miliki. Untuk menemukan pegangan kunci, gunakan findKeyperintah.

Untuk memverifikasi bahwa kunci dapat diekspor, gunakan getAttributeperintah untuk mendapatkan nilai OBJ_ATTR_EXTRACTABLE atribut, yang diwakili oleh konstan354. Untuk membantu menafsirkan atribut kunci, lihat AWS CloudHSM referensi atribut kunci untuk KMU.

Anda hanya dapat mengekspor kunci yang Anda miliki. Untuk menemukan pemilik kunci, gunakan getKeyInfoperintah.

Wajib: Ya

-w

Menentukan kunci pembungkus. Masukkan pegangan kunci AES kunci atau RSA kunci pada tombolHSM. Parameter ini diperlukan. Untuk menemukan pegangan kunci, gunakan findKeyperintah.

Untuk membuat kunci pembungkus, gunakan genSymKeyuntuk menghasilkan AES kunci (tipe 31) atau genRSAKeyPair untuk menghasilkan RSA key pair (tipe 0). Jika Anda menggunakan RSA key pair, pastikan untuk membungkus kunci dengan salah satu kunci, dan buka dengan yang lain. Untuk memverifikasi bahwa kunci dapat digunakan sebagai kunci pembungkus, gunakan getAttributeuntuk mendapatkan nilai OBJ_ATTR_WRAP atribut, yang diwakili oleh konstan262.

Wajib: Ya

-out

Jalur dan nama file output. Ketika perintah berhasil, file ini berisi kunci yang diekspor dalam plaintext. Jika file sudah ada, perintah akan menimpa tanpa peringatan.

Wajib: Ya

-m

Nilai yang mewakili mekanisme pembungkus. Cloud HSM mendukung mekanisme berikut:

Mekanisme Nilai
AES_KEY_WRAP_PAD_PKCS5 4
NIST_AES_WRAP_NO_PAD 5
NIST_AES_WRAP_PAD 6
RSA_AES 7
RSA_OAEP (untuk ukuran data maksimum, lihat catatan di bagian ini nanti) 8
AES_GCM 10
CLOUDHSM_AES_GCM 11
RSA_PKCS(untuk ukuran data maksimum, lihat catatan nanti di bagian ini). Lihat catatan 1 di bawah untuk perubahan yang akan datang. 12

Wajib: Ya

catatan

Saat menggunakan mekanisme RSA_OAEP pembungkus, ukuran kunci maksimum yang dapat Anda bungkus ditentukan oleh modulus kunci dan panjang hash yang ditentukan sebagai berikut: Ukuran RSA kunci maksimum = (modulusLengthInBytes-2* hashLengthIn Bytes-2).

Saat menggunakan mekanisme PKCS pembungkus RSA _, ukuran kunci maksimum yang dapat Anda bungkus ditentukan oleh modulus RSA kunci sebagai berikut: Ukuran kunci maksimum = (modulusLengthInBytes -11).

-t

Nilai yang mewakili algoritme hash. Cloud HSM mendukung algoritma berikut:

Algoritma hash Nilai
SHA1 2
SHA256 3
SHA384 4
SHA512 5
SHA224 (berlaku untuk mekanisme RSA_AES dan RSA_OAEP) 6

Wajib: Tidak

AAD

Nama file yang berisi AAD.

catatan

Hanya berlaku untuk mekanisme AES_GCM dan CLOUDHSM_AES_GCM.

Wajib: Tidak

-noheader

Menghilangkan header yang menentukan atribut kunci HSM spesifik Cloud. Gunakan parameter ini hanya jika Anda ingin membuka kunci dengan alat di luar key_mgmt_util.

Wajib: Tidak

-i

Vektor inisialisasi (IV) (nilai hex).

catatan

Hanya berlaku ketika diteruskan dengan -noheader parameter untukCLOUDHSM_AES_KEY_WRAP, dan NIST_AES_WRAP mekanisme.

Wajib: Tidak

-iv_file

File tempat Anda ingin menuliskan nilai IV yang diperoleh sebagai tanggapan.

catatan

Berlaku hanya ketika dilewatkan dengan parameter -noheader untuk mekanisme AES_GCM.

Wajib: Tidak

-tag_size

Ukuran tanda yang akan disimpan bersama dengan blob terbungkus.

catatan

Berlaku hanya ketika dilewatkan dengan parameter -noheader untuk mekanisme AES_GCM danCLOUDHSM_AES_GCM. Ukuran tanda minimum adalah delapan.

Wajib: Tidak

[1] Sesuai dengan NIST panduan, ini tidak diizinkan untuk cluster dalam FIPS mode setelah 2023. Untuk cluster dalam FIPS mode non-mode, masih diperbolehkan setelah 2023. Lihat FIPS140 Kepatuhan: Penutupan Mekanisme 2024 untuk detail.

Topik terkait