Esportazione di una AWS CloudHSM chiave privata utilizzando KMU - AWS CloudHSM
SintassiEsempiParametriArgomenti correlati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esportazione di una AWS CloudHSM chiave privata utilizzando KMU

Utilizzate il exportPrivateKey comando in AWS CloudHSM key_mgmt_util per esportare una chiave privata asimmetrica da un modulo di sicurezza hardware () in un file. HSM HSMNon consente l'esportazione diretta di chiavi in formato cleartext. Il comando avvolge la chiave privata utilizzando una chiave di AES avvolgimento specificata dall'utente, decrittografa i byte racchiusi e copia la chiave privata in chiaro in un file.

Il exportPrivateKey comando non rimuove la chiave daHSM, ne modifica gli attributi chiave né impedisce l'utilizzo della chiave in ulteriori operazioni crittografiche. È possibile esportare la stessa chiave più volte.

È possibile esportare solo le chiavi private che hanno il valore dell'attributo OBJ_ATTR_EXTRACTABLE impostato su 1. È necessario specificare una chiave di AES wrapping che abbia un valore OBJ_ATTR_WRAP e OBJ_ATTR_DECRYPT attributi. 1 Per trovare gli attributi della chiave, utilizza il comando getAttribute.

Prima di eseguire qualsiasi comando key_mgmt_util, è necessario avviare key_mgmt_util e accedere come utente crittografico (CU). HSM

Sintassi

exportPrivateKey -h

exportPrivateKey -k <private-key-handle
                 -w <wrapping-key-handle>
                 -out <key-file>
                 [-m <wrapping-mechanism>]
                 [-wk <wrapping-key-file>]

Esempi

Questo esempio mostra come esportare una chiave privata da un. exportPrivateKey HSM

Esempio : Esporta una chiave privata

Questo comando esporta una chiave privata con handle 15 utilizzando una chiave di avvolgimento con handle 16 in un PEM file chiamatoexportKey.pem. Se il comando ha esito positivo, exportPrivateKey restituisce un messaggio di operazione riuscita.

Command: exportPrivateKey -k 15 -w 16 -out exportKey.pem

Cfm3WrapKey returned: 0x00 : HSM Return: SUCCESS

        Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS

PEM formatted private key is written to exportKey.pem

Parametri

Questo comando accetta i parametri seguenti.

-h

Visualizza il testo di aiuto per il comando.

Campo obbligatorio: sì

-k

Specifica l'handle della chiave privata da esportare.

Campo obbligatorio: sì

-w

Specifica l'handle di una chiave di wrapping. Questo parametro è obbligatorio. Per trovare le handle della chiave, utilizza il comando findKey.

Per determinare se una chiave può essere utilizzata come chiave di wrapping, utilizzare getAttribute per ottenere il valore dell'attributo OBJ_ATTR_WRAP (262). Per creare una chiave di avvolgimento, usa genSymKeyper creare una AES chiave (tipo 31).

Se si utilizza il parametro -wk per specificare una chiave di annullamento del wrapping esterna, la chiave di wrapping -w viene utilizzata per eseguire il wrapping della chiave durante l'esportazione, ma non per annullarlo.

Campo obbligatorio: sì

-out

Consente di specificare il nome del file in cui verrà scritta la chiave privata esportata.

Campo obbligatorio: sì

-m

Specifica il meccanismo di wrapping della chiave privata in fase di esportazione. L'unico valore valido è 4, che rappresenta il NIST_AES_WRAP mechanism.

Default: 4 (NIST_AES_WRAP)

Campo obbligatorio: no

-wk

Specifica la chiave da utilizzare per eseguire l'annullamento del wrapping della chiave esportata. Immettete il percorso e il nome di un file che contiene una chiave di testo sempliceAES.

Quando includi questo parametro. exportPrivateKey utilizza la chiave nel file -w per eseguire il wrapping della chiave esportata e utilizza la chiave specificata dal parametro -wk per annullarlo.

Impostazione predefinita: Utilizza il codice di wrapping specificato nel parametro -w per eseguire il wrapping e per annullarlo.

Campo obbligatorio: no

Argomenti correlati