As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
envoltório de chaves aes-gcm
O key wrap aes-gcm comando agrupa uma chave de carga usando uma chave AES no HSM e o mecanismo de encapsulamentoAES-GCM
. O extractable
atributo da chave de carga útil deve ser definido como. true
Somente o proprietário de uma chave, ou seja, o usuário criptográfico (UC) que criou a chave, pode encapsular a chave. Os usuários que compartilham a chave podem usá-la em operações criptográficas.
Para usar o key wrap aes-gcm comando, primeiro você deve ter uma chave AES em seu AWS CloudHSM cluster. Você pode gerar uma chave AES para empacotar com o key generate-symmetric aes comando e o wrap
atributo true
definidos como.
Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
-
Usuários de criptografia (CUs)
Requisitos
-
Para executar esse comando, você deve estar registrado como um CU.
Sintaxe
aws-cloudhsm >
help key wrap aes-gcm
Usage: key wrap aes-gcm [OPTIONS] --payload-filter [
<PAYLOAD_FILTER>
...] --wrapping-filter [<WRAPPING_FILTER>
...] --tag-length-bits<TAG_LENGTH_BITS>
Options: --cluster-id<CLUSTER_ID>
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --payload-filter [<PAYLOAD_FILTER>
...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key --wrapping-filter [<WRAPPING_FILTER>
...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key --path<PATH>
Path to the binary file where the wrapped key data will be saved --aad<AAD>
Aes GCM Additional Authenticated Data (AAD) value, in hex --tag-length-bits<TAG_LENGTH_BITS>
Aes GCM tag length in bits -h, --help Print help
Exemplo
Este exemplo mostra como usar o key wrap aes-gcm comando usando uma chave AES.
aws-cloudhsm >
key wrap aes-gcm --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example --tag-length-bits 64 --aad 0x10
{ "error_code": 0, "data": { "payload_key_reference": "0x00000000001c08f1", "wrapping_key_reference": "0x00000000001c08ea", "iv": "0xf90613bb8e337ec0339aad21", "wrapped_key_data": "xvslgrtg8kHzrvekny97tLSIeokpPwV8" } }
Argumentos
<CLUSTER_ID>
-
O ID do cluster no qual executar essa operação.
Obrigatório: se vários clusters tiverem sido configurados.
<PAYLOAD_FILTER>
-
Referência de chave (por exemplo,
key-reference=0xabc
) ou lista separada por espaço de atributos de chave na forma deattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
selecionar uma chave de carga útil.Obrigatório: Sim
<PATH>
-
Caminho para o arquivo binário em que os dados da chave encapsulada serão salvos.
Obrigatório: não
<WRAPPING_FILTER>
-
Referência de chave (por exemplo,
key-reference=0xabc
) ou lista separada por espaço de atributos de chave na forma deattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
selecionar uma chave de empacotamento.Obrigatório: Sim
<AAD>
-
Valor de dados autenticados adicionais (AAD) do AES GCM, em hexadecimal.
Obrigatório: não
<TAG_LENGTH_BITS>
-
Comprimento da etiqueta AES GCM em bits.
Obrigatório: Sim