Avvolgi una chiave con RSA - OAEP usando Cloud HSM CLI - AWS CloudHSM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Avvolgi una chiave con RSA - OAEP usando Cloud HSM CLI

Utilizzate il key wrap rsa-oaep comando in Cloud HSM CLI per racchiudere una chiave di payload utilizzando una chiave RSA pubblica sul modulo di sicurezza hardware (HSM) e sul meccanismo di wrapping. RSA-OAEP L'extractableattributo della chiave payload deve essere impostato su. true

Solo il proprietario di una chiave, ovvero l'utente crittografico (CU) che ha creato la chiave, può impacchettare la chiave. Gli utenti che condividono la chiave possono utilizzarla nelle operazioni crittografiche.

Per utilizzare il key wrap rsa-oaep comando, è necessario innanzitutto disporre di una RSA chiave nel AWS CloudHSM cluster. È possibile generare una RSA coppia di chiavi utilizzando il La generate-asymmetric-pair categoria in Cloud HSM CLI comando e l'wrapattributo true impostati su.

Tipo di utente

I seguenti tipi di utenti possono eseguire questo comando.

  • Utenti Crypto () CUs

Requisiti

  • Per eseguire questo comando, è necessario aver effettuato l'accesso come CU.

Sintassi

aws-cloudhsm > help key wrap rsa-oaep Usage: key wrap rsa-oaep [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF> Options: --cluster-id <CLUSTER_ID> Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --payload-filter [<PAYLOAD_FILTER>...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key --wrapping-filter [<WRAPPING_FILTER>...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key --path <PATH> Path to the binary file where the wrapped key data will be saved --hash-function <HASH_FUNCTION> Hash algorithm [possible values: sha1, sha224, sha256, sha384, sha512] --mgf <MGF> Mask Generation Function algorithm [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512] -h, --help Print help

Esempio

Questo esempio mostra come utilizzare il key wrap rsa-oaep comando utilizzando una chiave RSA pubblica con il valore dell'wrapattributo impostato sutrue.

aws-cloudhsm > key wrap rsa-oaep --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example --hash-function sha256 --mgf mgf1-sha256 { "error_code": 0, "data": { "payload-key-reference": "0x00000000001c08f1", "wrapping-key-reference": "0x00000000007008da", "wrapped-key-data": "OjJe4msobPLz9TuSAdULEu17T5rMDWtSlLyBSkLbaZnYzzpdrhsbGLbwZJCtB/jGkDNdB4qyTAOQwEpggGf6v+Yx6JcesNeKKNU8XZal/YBoHC8noTGUSDI2qr+u2tDc84NPv6d+F2KOONXsSxMhmxzzNG/gzTVIJhOuy/B1yHjGP4mOXoDZf5+7f5M1CjxBmz4Vva/wrWHGCSG0yOaWblEvOiHAIt3UBdyKmU+/My4xjfJv7WGGu3DFUUIZ06TihRtKQhUYU1M9u6NPf9riJJfHsk6QCuSZ9yWThDT9as6i7e3htnyDhIhGWaoK8JU855cN/YNKAUqkNpC4FPL3iw==" } }

Argomenti

<CLUSTER_ID>

L'ID del cluster su cui eseguire questa operazione.

Obbligatorio: se sono stati configurati più cluster.

<PAYLOAD_FILTER>

Riferimento alla chiave (ad esempio,key-reference=0xabc) o elenco separato da spazi degli attributi chiave sotto forma di selezione attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE di una chiave di payload.

Campo obbligatorio: sì

<PATH>

Percorso del file binario in cui verranno salvati i dati chiave racchiusi.

Campo obbligatorio: no

<WRAPPING_FILTER>

Riferimento chiave (ad esempio,key-reference=0xabc) o elenco separato da spazi di attributi chiave sotto forma di selezione attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE di una chiave di avvolgimento.

Campo obbligatorio: sì

<MGF>

Specifica la funzione di generazione della maschera.

Nota

La funzione hash della funzione di generazione della maschera deve corrispondere alla funzione hash del meccanismo di firma.

Valori validi

  • mgf1-sha1

  • mgf1-sha224

  • mgf1-sha256

  • mgf1-sha384

  • mgf1-sha512

Campo obbligatorio: sì

Argomenti correlati