Desembrulhe uma chave com AES - GCM usando o Cloud HSM CLI - AWS CloudHSM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Desembrulhe uma chave com AES - GCM usando o Cloud HSM CLI

Use o key unwrap aes-gcm comando no Cloud HSM CLI para desempacotar uma chave de carga no cluster usando a chave de empacotamento e o mecanismo de AES desempacotamento. AES-GCM

As chaves desembrulhadas podem ser usadas da mesma forma que as chaves geradas pelo AWS CloudHSM. Para indicar que elas não foram geradas localmente, o atributo local é definido como false.

Para usar o key unwrap aes-gcm comando, você precisa ter a chave de AES encapsulamento em seu AWS CloudHSM cluster e seu unwrap atributo deve estar definido como. true

Tipo de usuário

Os seguintes tipos de usuários podem executar este comando.

  • Usuários de criptomoedas (CUs)

Requisitos

  • Para executar esse comando, você deve estar registrado como um CU.

Sintaxe

aws-cloudhsm > help key unwrap aes-gcm Usage: key unwrap aes-gcm [OPTIONS] --filter [<FILTER>...] --tag-length-bits <TAG_LENGTH_BITS> --key-type-class <KEY_TYPE_CLASS> --label <LABEL> --iv <IV> <--data-path <DATA_PATH>|--data <DATA>> Options: --cluster-id <CLUSTER_ID> Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --filter [<FILTER>...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with --data-path <DATA_PATH> Path to the binary file containing the wrapped key data --data <DATA> Base64 encoded wrapped key data --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...] Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key --share-crypto-users [<SHARE_CRYPTO_USERS;...] Space separated list of Crypto User usernames to share the unwrapped key with --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE; The quorum value for key management operations for the unwrapped key --use-key-quorum-value <USE_KEY_QUORUM_VALUE; The quorum value for key usage operations for the unwrapped key --aad <AAD> Aes GCM Additional Authenticated Data (AAD) value, in hex --tag-length-bits <TAG_LENGTH_BITS> Aes GCM tag length in bits --key-type-class <KEY_TYPE_CLASS> Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private] --label <LABEL> Label for the unwrapped key --session Creates a session key that exists only in the current session. The key cannot be recovered after the session ends --iv <IV> Initial value used to wrap the key, in hex --approval <APPROVAL> Filepath of signed quorum token file to approve operation -h, --help Print help

Exemplos

Esses exemplos mostram como usar o key unwrap aes-gcm comando usando uma AES chave com o valor do unwrap atributo definido comotrue.

exemplo Exemplo: desencapsular uma chave de carga útil dos dados da chave encapsulada codificada em Base64
aws-cloudhsm > key unwrap aes-gcm --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --tag-length-bits 64 --aad 0x10 --iv 0xf90613bb8e337ec0339aad21 --data xvslgrtg8kHzrvekny97tLSIeokpPwV8 { "error_code": 0, "data": { "key": { "key-reference": "0x00000000001808e4", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "key-quorum-values": { "manage-key-quorum-value": 0, "use-key-quorum-value": 0 }, "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "aes-unwrapped", "id": "0x", "check-value": "0x8d9099", "class": "secret-key", "encrypt": false, "decrypt": false, "token": true, "always-sensitive": false, "derive": false, "destroyable": true, "extractable": true, "local": false, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": false, "verify": true, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 16 } } } }
exemplo Exemplo: desencapsular uma chave de carga útil fornecida por meio de um caminho de dados
aws-cloudhsm > key unwrap aes-gcm --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --tag-length-bits 64 --aad 0x10 --iv 0xf90613bb8e337ec0339aad21 --data-path payload-key.pem { "error_code": 0, "data": { "key": { "key-reference": "0x00000000001808e4", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "key-quorum-values": { "manage-key-quorum-value": 0, "use-key-quorum-value": 0 }, "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "aes-unwrapped", "id": "0x", "check-value": "0x8d9099", "class": "secret-key", "encrypt": false, "decrypt": false, "token": true, "always-sensitive": false, "derive": false, "destroyable": true, "extractable": true, "local": false, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": false, "verify": true, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 16 } } } }

Argumentos

<CLUSTER_ID>

O ID do cluster em que essa operação será executada.

Obrigatório: se vários clusters tiverem sido configurados.

<FILTER>

Referência de chave (por exemplo, key-reference=0xabc) ou lista separada por espaços contendo atributos de chave na forma de attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE para selecionar uma chave para ser usada no desencapsulamento.

Obrigatório: sim

<DATA_PATH>

Caminho para o arquivo binário que contém os dados da chave encapsulada.

Obrigatório: sim (a menos que seja fornecido por meio de dados codificados em Base64)

<DATA>

Dados de chaves encapsuladas codificados em Base64.

Obrigatório: sim (a menos que seja fornecido por meio do caminho de dados)

<ATTRIBUTES>

Lista separada por espaço contendo atributos de chaves na forma de KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE para a chave encapsulada.

Obrigatório: não

<AAD>

Adicione o valor de Dados Autenticados GCM Adicionais (AAD), em hexadecimal.

Obrigatório: não

<TAG_LENGTH_BITS>

Aes o comprimento da GCM etiqueta em bits.

Obrigatório: sim

<KEY_TYPE_CLASS>

Tipo de chave e classe da chave encapsulada [valores possíveis: aes, des3, ec-private, generic-secret, rsa-private].

Obrigatório: sim

<LABEL>

Rótulo da chave desencapsulada.

Obrigatório: sim

<SESSION>

Cria uma chave de sessão que existe apenas na sessão atual. A chave não pode ser recuperada após o término da sessão.

Obrigatório: não

<IV>

Valor inicial usado para encapsular a chave, em hexadecimal.

Obrigatório: não

<APPROVAL>

Especifica o caminho do arquivo para um arquivo de token de quórum designado para aprovar a operação. Exigido somente se o valor do quórum do serviço de gerenciamento de chaves da chave de desempacotamento for maior que 1.

Tópicos relacionados