Esporta AWS CloudHSM qualsiasi chiave utilizzando KMU - AWS CloudHSM
SintassiEsempioParametriArgomenti correlati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esporta AWS CloudHSM qualsiasi chiave utilizzando KMU

Utilizzate il wrapKey comando in AWS CloudHSM key_mgmt_util per esportare una copia crittografata di una chiave simmetrica o privata dal modulo di sicurezza hardware () in un file. HSM Quando eseguiwrapKey, specifichi la chiave da esportare, una chiave su cui crittografare (avvolgere) la HSM chiave che desideri esportare e il file di output.

Il wrapKey comando scrive la chiave crittografata in un file specificato dall'utente, ma non rimuove la chiave dal file HSM né ne impedisce l'utilizzo nelle operazioni crittografiche. È possibile esportare la stessa chiave più volte.

Soltanto il proprietario della chiave, ovvero l'utente CU che ha creato la chiave, è in grado di esportarla. Gli utenti che condividono la chiave possono utilizzarla nelle operazioni di crittografia, ma non possono esportarla.

Per reimportare la chiave crittografata inHSM, utilizzare unWrapKey. Per esportare una chiave in testo semplice da un fileHSM, usa exSymKeyo exportPrivateKeycome appropriato. Il aesWrapUnwrapcomando non può decrittografare (scartare) le chiavi che crittografano. wrapKey

Prima di eseguire qualsiasi comando key_mgmt_util, è necessario avviare key_mgmt_util e accedere come utente crittografico (CU). HSM

Sintassi

wrapKey -h

wrapKey -k <exported-key-handle>
        -w <wrapping-key-handle>
        -out <output-file>
        [-m <wrapping-mechanism>]
        [-aad <additional authenticated data filename>]
        [-t <hash-type>]
        [-noheader]
        [-i <wrapping IV>]  
        [-iv_file <IV file>]
        [-tag_size <num_tag_bytes>>]

Esempio

Questo comando esporta una chiave simmetrica Triple (3) a 192 bit (key handle). DES DES 7 Utilizza una AES chiave a 256 bit nella HSM (maniglia dei tasti) per avvolgere la chiave. 14 7 Quindi, scrive la DES chiave crittografata 3 nel 3DES-encrypted.key file.

L'output mostra che la chiave 7 (la DES chiave 3) è stata inserita e scritta correttamente nel file specificato. La chiave crittografata è di 307 byte.

        Command:  wrapKey -k 7 -w 14 -out 3DES-encrypted.key -m 4

        Key Wrapped.

        Wrapped Key written to file "3DES-encrypted.key length 307

        Cfm2WrapKey returned: 0x00 : HSM Return: SUCCESS

Parametri

-h

Visualizza l'aiuto per il comando.

Campo obbligatorio: sì

-k

L'handle della chiave che si desidera esportare. Digita l'handle della chiave simmetrica o privata posseduta. Per trovare le maniglie dei tasti, usa il findKeycomando.

Per verificare che una chiave possa essere esportata, utilizzate il getAttributecomando per ottenere il valore dell'OBJ_ATTR_EXTRACTABLEattributo, che è rappresentato da una costante354. Per informazioni sull'interpretazione degli attributi chiave, vedi AWS CloudHSM riferimento all'attributo chiave per KMU.

Puoi esportare solo le chiavi di tua proprietà. Per trovare il proprietario di una chiave, usa il getKeyInfocomando.

Campo obbligatorio: sì

-w

Specifica la chiave di wrapping. Immettete la maniglia di una AES chiave o di una RSA chiave sulHSM. Questo parametro è obbligatorio. Per trovare le maniglie dei tasti, usa il findKeycomando.

Per creare una chiave di wrapping, utilizzare genSymKeyper generare una AES chiave (tipo 31) o genRSAKeyPair per generare una coppia di RSA chiavi (tipo 0). Se utilizzi una coppia di RSA key pair, assicurati di avvolgere la chiave con una delle chiavi e di scartarla con l'altra. Per verificare che una chiave possa essere usata come chiave di avvolgimento, usate getAttributeto get il valore dell'OBJ_ATTR_WRAPattributo, che è rappresentato da constant. 262

Campo obbligatorio: sì

-output

Il percorso e il nome del file di output. Quando il comando viene completato, questo file contiene una copia crittografata della chiave esportata. Se il file già esiste, il comando lo sovrascrive senza preavviso.

Campo obbligatorio: sì

-m

Il valore che rappresenta il meccanismo di wrapping. Cloud HSM supporta i seguenti meccanismi:

Meccanismo Valore
AES_KEY_WRAP_PAD_PKCS5 4
NIST_AES_WRAP_NO_PAD 5
NIST_AES_WRAP_PAD 6
RSA_AES 7
RSA_OAEP (per la dimensione massima dei dati, vedi la nota più avanti in questa sezione) 8
AES_GCM 10
CLOUDHSM_AES_GCM 11
RSA_PKCS (per la dimensione massima dei dati, vedi la nota più avanti in questa sezione). Vedi la nota 1 di seguito per una modifica imminente. 12

Campo obbligatorio: sì

Nota

Quando si utilizza il meccanismo di RSA_OAEP wrapping, la dimensione massima della chiave che è possibile avvolgere è determinata dal modulo della RSA chiave e dalla lunghezza dell'hash specificato, nel modo seguente: Dimensione massima della chiave = (modulusLengthInBytes-2* hashLengthIn Bytes-2).

Quando si utilizza il meccanismo di PKCS avvolgimento RSA _, la dimensione massima della chiave che è possibile avvolgere è determinata dal modulo della chiave nel modo seguente: Dimensione massima della RSA chiave = (Byte -11). modulusLengthIn

-t

Il valore che rappresenta l'algoritmo hash. Cloud HSM supporta i seguenti algoritmi:

Algoritmo hash Valore
SHA1 2
SHA256 3
SHA384 4
SHA512 5
SHA224 (valido per i meccanismi RSA_AES e RSA_OAEP) 6

Campo obbligatorio: no

-aad

Il nome del file contenente AAD.

Nota

Valido solo per i meccanismi AES_GCM e CLOUDHSM_AES_GCM.

Campo obbligatorio: no

-no intestazione

Omette l'intestazione che specifica gli attributi chiave specifici di CloudHSM. Utilizzare questo parametro solo se prevedi di annullare il wrapping della chiave con strumenti all'esterno di key_mgmt_util.

Campo obbligatorio: no

-i

Il vettore di inizializzazione (IV) (valore esadecimale).

Nota

Valido solo se passato con il parametro -noheader per i meccanismi CLOUDHSM_AES_KEY_WRAP e NIST_AES_WRAP.

Campo obbligatorio: no

-iv_file

Il file in cui si desidera scrivere il valore IV ottenuto in risposta.

Nota

Valido solo se passato con il parametro -noheader per il meccanismo AES_GCM.

Campo obbligatorio: no

-tag_size

La dimensione del tag da salvare insieme al blob oggetto del wrapping.

Nota

Valido solo se passato con il parametro -noheader per i meccanismi AES_GCM e CLOUDHSM_AES_GCM. La dimensione minima del tag è otto.

Campo obbligatorio: no

[1] Secondo le NIST linee guida, ciò non è consentito per i cluster in modalità dopo il 2023. FIPS Per i cluster non in FIPS modalità, è ancora consentito dopo il 2023. Per informazioni dettagliate, vedi FIPS140 Conformità: obsolescenza del meccanismo 2024.

Argomenti correlati