Obtenha um atributo de chave do AWS CloudHSM usando o KMU - AWS CloudHSM
SintaxeExemplosParâmetrosTópicos relacionados da

Obtenha um atributo de chave do AWS CloudHSM usando o KMU

Use o comando getAttribute na key_mgmt_util do AWS CloudHSM para gravar um ou todos os valores de atributo de uma chave do AWS CloudHSM em um arquivo. Se o atributo que você especificar não existir para o tipo de chave, como o módulo de uma chave AES, getAttribute retornará um erro.

Atributos de chave são propriedades de uma chave. Eles incluem características, como o tipo de chave, a classe, o rótulo e o ID, e valores que representam ações que você pode realizar com a chave, como criptografar, descriptografar, encapsular, assinar e verificar.

Você só pode usar getAttribute nas chaves que você possui e em chaves que são compartilhadas com você. Você pode executar esse comando ou o comando getAttribute na cloudhsm_mgmt_util, que obtém um valor de atributo de uma chave de todos os HSMs em um cluster e o grava em stdout ou em um arquivo.

Para obter uma lista de atributos e das constantes que os representam, use o comando listAttributes. Para alterar os valores de atributo de chaves existentes, use setAttribute na key_mgmt_util e setAttribute na cloudhsm_mgmt_util. Para obter ajuda sobre a interpretação dos principais atributos, consulte Referência de atributo de chaves do AWS CloudHSM para KMU.

Antes de executar um comando key_mgmt_util, você deve iniciar key_mgmt_util e fazer login no HSM como um usuário de criptografia (CU).

Sintaxe

getAttribute -h 

getAttribute -o <key handle> 
             -a <attribute constant> 
             -out <file>

Exemplos

Estes exemplos mostram como usar getAttribute para obter os atributos de chaves nos seus HSMs.

exemplo : Obter o tipo de chave

Esse exemplo obtém o tipo de chave, como uma chave AES, 3DES ou genérica, ou um par de chaves RSA ou de curva elíptica.

O primeiro comando executa listAttributes, que obtém os principais atributos e as constantes que os representam. A saída mostra que a constante para o tipo de chave é 256. Para obter ajuda sobre a interpretação dos principais atributos, consulte Referência de atributo de chaves do AWS CloudHSM para KMU.

Command: listAttributes

Description
===========
The following are all of the possible attribute values for getAttributes.

      OBJ_ATTR_CLASS                  = 0
      OBJ_ATTR_TOKEN                  = 1
      OBJ_ATTR_PRIVATE                = 2
      OBJ_ATTR_LABEL                  = 3
      OBJ_ATTR_KEY_TYPE               = 256
      OBJ_ATTR_ID                     = 258
      OBJ_ATTR_SENSITIVE              = 259
      OBJ_ATTR_ENCRYPT                = 260
      OBJ_ATTR_DECRYPT                = 261
      OBJ_ATTR_WRAP                   = 262
      OBJ_ATTR_UNWRAP                 = 263
      OBJ_ATTR_SIGN                   = 264
      OBJ_ATTR_VERIFY                 = 266
      OBJ_ATTR_LOCAL                  = 355
      OBJ_ATTR_MODULUS                = 288
      OBJ_ATTR_MODULUS_BITS           = 289
      OBJ_ATTR_PUBLIC_EXPONENT        = 290
      OBJ_ATTR_VALUE_LEN              = 353
      OBJ_ATTR_EXTRACTABLE            = 354
      OBJ_ATTR_KCV                    = 371

O segundo comando executa getAttribute. Ele solicita o tipo de chave (atributo 256) para o identificador de chave 524296 e o grava no arquivo attribute.txt. 

Command: getAttribute -o 524296 -a 256 -out attribute.txt
Attributes dumped into attribute.txt file

O comando final obtém o conteúdo do arquivo de chave. A saída revela que o tipo de chave é 0x15 ou 21, que é uma chave Triple DES (3DES). Para as definições dos valores da classe e tipo, consulte a Referência de atributos de chave.

$  cat attribute.txt
OBJ_ATTR_KEY_TYPE
0x00000015
exemplo : Obter todos os atributos de uma chave

Este comando obtém todos os atributos da chave com o identificador de chave 6 e os grava no arquivo attr_6. Ele usa um valor de atributo de 512, que representa todos os atributos. 

Command: getAttribute -o 6 -a 512 -out attr_6
        
got all attributes of size 444 attr cnt 17
Attributes dumped into attribute.txt file

        Cfm3GetAttribute returned: 0x00 : HSM Return: SUCCESS>

Esse comando mostra o conteúdo de um arquivo de atributo de amostra com todos os valores de atributos. Entre os valores, ele informa que a chave é uma chave AES de 256 bits com um ID de test_01 e um rótulo de aes256. A chave é extraível e persistente, ou seja, não é uma chave somente de sessão. Para obter ajuda sobre a interpretação dos principais atributos, consulte Referência de atributo de chaves do AWS CloudHSM para KMU.

$  cat attribute.txt

OBJ_ATTR_CLASS
0x04
OBJ_ATTR_KEY_TYPE
0x15
OBJ_ATTR_TOKEN
0x01
OBJ_ATTR_PRIVATE
0x01
OBJ_ATTR_ENCRYPT
0x01
OBJ_ATTR_DECRYPT
0x01
OBJ_ATTR_WRAP
0x01
OBJ_ATTR_UNWRAP
0x01
OBJ_ATTR_SIGN
0x00
OBJ_ATTR_VERIFY
0x00
OBJ_ATTR_LOCAL
0x01
OBJ_ATTR_SENSITIVE
0x01
OBJ_ATTR_EXTRACTABLE
0x01
OBJ_ATTR_LABEL
aes256
OBJ_ATTR_ID
test_01
OBJ_ATTR_VALUE_LEN
0x00000020
OBJ_ATTR_KCV
0x1a4b31

Parâmetros

-h

Exibe a ajuda referente ao comando.

Obrigatório: Sim

-o

Especifica o identificador da chave de destino. Você pode especificar apenas uma chave em cada comando. Para obter o identificador de chave de uma chave, use findKey.

Além disso, você deve ter a chave especificada ou ela deve ser compartilhada com você. Para encontrar os usuários de uma chave, use getKeyInfo.

Obrigatório: Sim

-a

Identifica o atributo. Insira uma constante que represente um atributo, ou 512, que represente todos os atributos. Por exemplo, para obter o tipo de chave, digite 256, que é a constante para o atributo OBJ_ATTR_KEY_TYPE.

Para listar os atributos e suas constantes, use listAttributes. Para obter ajuda sobre a interpretação dos principais atributos, consulte Referência de atributo de chaves do AWS CloudHSM para KMU.

Obrigatório: Sim

-out

Grava a saída no arquivo especificado. Digite um caminho de arquivo. Você não pode gravar a saída em stdout.

Se o arquivo especificado existir, getAttribute substitui o arquivo sem aviso prévio.

Obrigatório: Sim

Tópicos relacionados da