Criptografar e descriptografar qualquer arquivo do AWS CloudHSM usando o KMU
Use o comando aesWrapUnwrap no key_mgmt_util do AWS CloudHSM para criptografar ou descriptografar o conteúdo de um arquivo no disco. Este comando foi projetado para encapsular e desencapsular chaves de criptografia, mas você pode usá-lo em qualquer arquivo que contenha menos de 4 KB (4096 bytes) de dados.
aesWrapUnwrap usa AES Key Wrap
Antes de executar um comando key_mgmt_util, você deve iniciar key_mgmt_util e fazer login no HSM como um usuário de criptografia (CU).
Sintaxe
aesWrapUnwrap -h aesWrapUnwrap -m
<wrap-unwrap mode>
-f<file-to-wrap-unwrap>
-w<wrapping-key-handle>
[-i<wrapping-IV>
] [-out<output-file>
]
Exemplos
Esses exemplos mostram como usar aesWrapUnwrap para criptografar e descriptografar uma chave de criptografia em um arquivo.
exemplo : encapsular uma chave de criptografia
Esse comando usa aesWrapUnwrap para encapsular uma chave simétrica Triple DES que foi exportada do HSM em texto simples para o arquivo 3DES.key
. Você pode usar um comando semelhante para remover qualquer chave salva em um arquivo.
O comando usa o parâmetro -m
com um valor de 1
para indicar o modo de enrolamento. Ele usa o parâmetro -w
para especificar uma chave AES no HSM (identificador de chave 6
) como a chave de encapsulamento. Ele grava a chave encapsulada resultante no arquivo 3DES.key.wrapped
.
A saída mostra que o comando foi bem-sucedido e que a operação usou o IV padrão, o que é preferido.
Command:
aesWrapUnwrap -f 3DES.key -w 6 -m 1 -out 3DES.key.wrapped
Warning: IV (-i) is missing. 0xA6A6A6A6A6A6A6A6 is considered as default IV result data: 49 49 E2 D0 11 C1 97 22 17 43 BD E3 4E F4 12 75 8D C1 34 CF 26 10 3A 8D 6D 0A 7B D5 D3 E8 4D C2 79 09 08 61 94 68 51 B7 result written to file 3DES.key.wrapped Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS
exemplo : desencapsular uma chave de criptografia
Este exemplo mostra como usar aesWrapUnwrap para desempacotar (desencapsular) uma chave encapsulada (criptografada) em um arquivo. Você pode querer fazer uma operação como essa antes de importar uma chave para o HSM. Por exemplo, se você tentar usar o comando imSymKey para importar uma chave criptografada, ele retornará um erro porque a chave criptografada não possui o formato necessário para uma chave em texto simples desse tipo.
O comando desencapsula a chave no arquivo 3DES.key.wrapped
e grava o texto simples no arquivo 3DES.key.unwrapped
. O comando usa o parâmetro -m
com um valor de 0
para indicar o modo de desencapsulamento. Ele usa o parâmetro -w
para especificar uma chave AES no HSM (identificador de chave 6
) como a chave de encapsulamento. Ele grava a chave encapsulada resultante no arquivo 3DES.key.unwrapped
.
Command:
aesWrapUnwrap -m 0 -f 3DES.key.wrapped -w 6 -out 3DES.key.unwrapped
Warning: IV (-i) is missing. 0xA6A6A6A6A6A6A6A6 is considered as default IV result data: 14 90 D7 AD D6 E4 F5 FA A1 95 6F 24 89 79 F3 EE 37 21 E6 54 1F 3B 8D 62 result written to file 3DES.key.unwrapped Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS
Parâmetros
- -h
-
Exibe a ajuda referente ao comando.
Obrigatório: Sim
- -m
-
Especifica o modo. Para encapsular (criptografar) o conteúdo do arquivo, digite
1
; para desencapsular (descriptografar) o conteúdo do arquivo, digite0
.Obrigatório: Sim
- -f
-
Especifica o arquivo a ser encapsulado. Insira um arquivo que contenha menos de 4 KB (4096 bytes) de dados. Essa operação foi projetada para encapsular e desencapsular chaves de criptografia.
Obrigatório: Sim
- -w
-
Especifica a chave de empacotamento. Insira o identificador de uma chave AES no HSM. Esse parâmetro é obrigatório. Para encontrar os identificadores de chave, use o comando findKey.
Para criar uma chave de encapsulamento, use genSymKey para gerar uma chave AES (digite 31).
Obrigatório: Sim
- -i
-
Especifica um valor inicial alternativo (IV) para o algoritmo. Use o valor padrão, a menos que você tenha uma condição especial que exija uma alternativa.
Padrão:
0xA6A6A6A6A6A6A6A6
. O valor padrão é definido na especificação do algoritmo AES Key Wrap. Obrigatório: Não
- -out
-
Especifica um nome alternativo para o arquivo de saída que contém a chave encapsulada ou desencapsulada. O padrão é
wrapped_key
(para operações de encapsulamento) eunwrapped_key
(para operações de desencapsulamento) no diretório local.Se o arquivo existir, o aesWrapUnwrap o substituirá sem aviso prévio. Se o comando falhar, aesWrapUnwrap criará um arquivo de saída sem conteúdo.
Padrão: Para encapsulamento:
wrapped_key
. Para desencapsulamento:unwrapped_key
.Obrigatório: Não