Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzate il key unwrap rsa-aes comando nella CLI di CloudHSM per decomprimere una chiave di payload utilizzando una chiave privata RSA e il meccanismo di unwrapping. RSA-AES
Le chiavi decomposte possono essere utilizzate nello stesso modo delle chiavi generate da. AWS CloudHSM Per indicare che non sono state generate localmente, il loro local attributo è impostato su. false
Per utilizzare ilkey unwrap rsa-aes, è necessario disporre della chiave privata RSA della chiave di wrapping pubblica RSA nel AWS CloudHSM cluster e il relativo unwrap attributo deve essere impostato su. true
Tipo di utente
I seguenti tipi di utenti possono eseguire questo comando.
-
Utenti Crypto () CUs
Requisiti
-
Per eseguire questo comando, è necessario aver effettuato l'accesso come CU.
Sintassi
aws-cloudhsm >help key unwrap rsa-aesUsage: key unwrap rsa-aes [OPTIONS] --filter [<FILTER>...] --hash-function<HASH_FUNCTION>--mgf<MGF>--key-type-class<KEY_TYPE_CLASS>--label<LABEL><--data-path<DATA_PATH>|--data<DATA>> Options: --cluster-id<CLUSTER_ID>Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --filter [<FILTER>...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with --data-path<DATA_PATH>Path to the binary file containing the wrapped key data --data<DATA>Base64 encoded wrapped key data --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...] Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key --share-crypto-users [<SHARE_CRYPTO_USERS;...] Space separated list of Crypto User usernames to share the unwrapped key with --manage-key-quorum-value<MANAGE_KEY_QUORUM_VALUE;The quorum value for key management operations for the unwrapped key --use-key-quorum-value<USE_KEY_QUORUM_VALUE;The quorum value for key usage operations for the unwrapped key --hash-function<HASH_FUNCTION>Hash algorithm [possible values: sha1, sha224, sha256, sha384, sha512] --mgf<MGF>Mask Generation Function algorithm [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512] --key-type-class<KEY_TYPE_CLASS>Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private] --label<LABEL>Label for the unwrapped key --session Creates a session key that exists only in the current session. The key cannot be recovered after the session ends --approval<APPROVAL>Filepath of signed quorum token file to approve operation -h, --help Print help
Esempio
Questi esempi mostrano come utilizzare il key unwrap rsa-aes comando utilizzando la chiave privata RSA con il valore dell'unwrapattributo true impostato su.
Esempio: scartare una chiave di payload dai dati chiave avvolti codificati in Base64
aws-cloudhsm >key unwrap rsa-aes --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-key-example --hash-function sha256 --mgf mgf1-sha256 --data HrSE1DEyLjIeyGdPa9R+ebiqB5TIJGyamPker31ZebPwRA+NcerbAJO8DJ1lXPygZcI21vIFSZJuWMEiWpe1R9D/5WSYgxLVKex30xCFqebtEzxbKuv4DOmU4meSofqREYvtb3EoIKwjyxCMRQFgoyUCuP4y0f0eSv0k6rSJh4NuCsHptXZbtgNeRcR4botN7LlzkEIUcq4fVHaatCwd0J1QGKHKyRhkol+RL5WGXKe4nAboAkC5GO7veI5yHL1SaKlssSJtTL/CFpbSLsAFuYbv/NUCWwMY5mwyVTCSlw+HlgKK+5TH1MzBaSi8fpfyepLT8sHy2Q/VRl6ifb49p6m0KQFbRVvz/OWUd6l4d97BdgtaEz6ueg=={ "error_code": 0, "data": { "key": { "key-reference": "0x00000000001808e2", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "key-quorum-values": { "manage-key-quorum-value": 0, "use-key-quorum-value": 0 }, "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "aes-unwrapped", "id": "0x", "check-value": "0x8d9099", "class": "secret-key", "encrypt": false, "decrypt": false, "token": true, "always-sensitive": false, "derive": false, "destroyable": true, "extractable": true, "local": false, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": false, "verify": true, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 16 } } } }
Esempio: scartare una chiave di payload fornita tramite un percorso dati
aws-cloudhsm >key unwrap rsa-aes --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-key-example --hash-function sha256 --mgf mgf1-sha256 --data-path payload-key.pem{ "error_code": 0, "data": { "key": { "key-reference": "0x00000000001808e2", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "key-quorum-values": { "manage-key-quorum-value": 0, "use-key-quorum-value": 0 }, "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "aes-unwrapped", "id": "0x", "check-value": "0x8d9099", "class": "secret-key", "encrypt": false, "decrypt": false, "token": true, "always-sensitive": false, "derive": false, "destroyable": true, "extractable": true, "local": false, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": false, "verify": true, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 16 } } } }
Argomenti
<CLUSTER_ID>-
L'ID del cluster su cui eseguire questa operazione.
Obbligatorio: se sono stati configurati più cluster.
<FILTER>-
Riferimento alla chiave (ad esempio,
key-reference=0xabc) o elenco separato da spazi degli attributi chiave sotto formaattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUEdi selezione di una chiave da utilizzare.Campo obbligatorio: sì
<DATA_PATH>-
Percorso del file binario contenente i dati chiave racchiusi.
Obbligatorio: Sì (a meno che non sia fornito tramite dati codificati Base64)
<DATA>-
Dati chiave avvolti codificati in Base64.
Obbligatorio: Sì (a meno che non sia fornito tramite il percorso dati)
<ATTRIBUTES>-
Elenco separato da spazi degli attributi chiave sotto forma
KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUEdi chiave racchiusa.Campo obbligatorio: no
<KEY_TYPE_CLASS>-
Tipo di chiave e classe di chiave racchiusa [valori possibili:
aes,,,des3ec-privategeneric-secret,rsa-private].Campo obbligatorio: sì
<HASH_FUNCTION>-
Specifica la funzione hash.
Valori validi:
sha1
sha224
sha256
sha384
sha512
Campo obbligatorio: sì
<MGF>-
Specifica la funzione di generazione della maschera.
Nota
La funzione hash della funzione di generazione della maschera deve corrispondere alla funzione hash del meccanismo di firma.
Valori validi:
mgf1-sha1
mgf1-sha224
mgf1-sha256
mgf1-sha384
mgf1-sha512
Campo obbligatorio: sì
<LABEL>-
Etichetta per la chiave aperta.
Campo obbligatorio: sì
<SESSION>-
Crea una chiave di sessione che esiste solo nella sessione corrente. La chiave non può essere recuperata dopo la fine della sessione.
Campo obbligatorio: no
<APPROVAL>-
Specifica il percorso del file di un token firmato del quorum per approvare l'operazione. Richiesto solo se il valore del quorum del servizio di gestione delle chiavi della chiave di unwrapping è maggiore di 1.
Argomenti correlati
