Scartare una chiave con RSA - PKCS usando Cloud HSM CLI - AWS CloudHSM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scartare una chiave con RSA - PKCS usando Cloud HSM CLI

Usa il key unwrap rsa-pkcs comando in Cloud HSM CLI per scartare una chiave di payload utilizzando la chiave privata e il meccanismo di decompressione. RSA RSA-PKCS

Le chiavi non impacchettate possono essere utilizzate nello stesso modo delle chiavi generate da. AWS CloudHSM Per indicare che non sono state generate localmente, il loro local attributo è impostato su. false

Per utilizzare il unwrap rsa-pkcs comando da tastiera, è necessario disporre della chiave RSA privata della chiave di wrapping RSA pubblica nel AWS CloudHSM cluster e il relativo unwrap attributo deve essere impostato su. true

Tipo di utente

I seguenti tipi di utenti possono eseguire questo comando.

  • Utenti Crypto () CUs

Requisiti

  • Per eseguire questo comando, è necessario aver effettuato l'accesso come CU.

Sintassi

aws-cloudhsm > help key unwrap rsa-pkcs Usage: key unwrap rsa-pkcs [OPTIONS] --filter [<FILTER>...] --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>> Options: --cluster-id <CLUSTER_ID> Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --filter [<FILTER>...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with --data-path <DATA_PATH> Path to the binary file containing the wrapped key data --data <DATA> Base64 encoded wrapped key data --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...] Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key --key-type-class <KEY_TYPE_CLASS> Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private] --label <LABEL> Label for the unwrapped key --session Creates a session key that exists only in the current session. The key cannot be recovered after the session ends -h, --help Print help

Esempi

Questi esempi mostrano come utilizzare il key unwrap rsa-oaep comando utilizzando una AES chiave con il valore dell'unwrapattributo impostato sutrue.

Esempio: scartare una chiave di payload dai dati chiave avvolti codificati in Base64
aws-cloudhsm > key unwrap rsa-pkcs --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-key-example --data am0Nc7+YE8FWs+5HvU7sIBcXVb24QA0l65nbNAD+1bK+e18BpSfnaI3P+r8Dp+pLu1ofoUy/vtzRjZoCiDofcz4EqCFnGl4GdcJ1/3W/5WRvMatCa2d7cx02swaeZcjKsermPXYRO1lGlfq6NskwMeeTkV8R7Rx9artFrs1y0DdIgIKVaiFHwnBIUMnlQrR2zRmMkfwU1jxMYmOYyD031F5VbnjSrhfMwkww2la7uf/c3XdFJ2+0Bo94c6og/yfPcpOOobJlITCoXhtMRepSdO4OggYq/6nUDuHCtJ86pPGnNahyr7+sAaSI3a5ECQLUjwaIARUCyoRh7EFK3qPXcg== { "error_code": 0, "data": { "key": { "key-reference": "0x00000000001c08ef", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "aes-unwrapped", "id": "0x", "check-value": "0x8d9099", "class": "secret-key", "encrypt": false, "decrypt": false, "token": true, "always-sensitive": false, "derive": false, "destroyable": true, "extractable": true, "local": false, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": false, "verify": true, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 16 } } } }
Esempio: scartare una chiave di payload fornita tramite un percorso dati
aws-cloudhsm > key unwrap rsa-pkcs --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-key-example --data-path payload-key.pem { "error_code": 0, "data": { "key": { "key-reference": "0x00000000001c08ef", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "aes-unwrapped", "id": "0x", "check-value": "0x8d9099", "class": "secret-key", "encrypt": false, "decrypt": false, "token": true, "always-sensitive": false, "derive": false, "destroyable": true, "extractable": true, "local": false, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": false, "verify": true, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 16 } } } }

Argomenti

<CLUSTER_ID>

L'ID del cluster su cui eseguire questa operazione.

Obbligatorio: se sono stati configurati più cluster.

<FILTER>

Riferimento alla chiave (ad esempio,key-reference=0xabc) o elenco separato da spazi degli attributi chiave sotto forma attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE di selezione di una chiave da utilizzare.

Campo obbligatorio: sì

<DATA_PATH>

Percorso del file binario contenente i dati chiave racchiusi.

Obbligatorio: Sì (a meno che non sia fornito tramite dati codificati Base64)

<DATA>

Dati chiave avvolti codificati in Base64.

Obbligatorio: Sì (a meno che non sia fornito tramite il percorso dati)

<ATTRIBUTES>

Elenco separato da spazi degli attributi chiave sotto forma KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE di chiave racchiusa.

Campo obbligatorio: no

<KEY_TYPE_CLASS>

Tipo di chiave e classe di chiave racchiusa [valori possibili:aes,,, des3 ec-privategeneric-secret,rsa-private].

Campo obbligatorio: sì

<LABEL>

Etichetta per la chiave aperta.

Campo obbligatorio: sì

<SESSION>

Crea una chiave di sessione che esiste solo nella sessione corrente. La chiave non può essere recuperata dopo la fine della sessione.

Campo obbligatorio: no

Argomenti correlati