OAEP用 RSA-使用 Cloud 封装密钥 HSM CLI - AWS CloudHSM
用户类型要求语法示例参数相关 主题

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

OAEP用 RSA-使用 Cloud 封装密钥 HSM CLI

使用 Cloud HSM CLI 中的key wrap rsa-oaep命令使用硬件安全模块 (HSM) 和RSA-OAEP包装机制上的RSA公钥封装有效载荷密钥。有效载荷密钥的 extractable 属性必须设置为 true

只有密钥的所有者(即创建密钥的加密用户(CU))才能包装密钥。共享密钥的用户可以使用该密钥进行加密操作。

要使用该key wrap rsa-oaep命令,您必须先在 AWS CloudHSM 集群中拥有一个RSA密钥。您可以使用CloudHSM CLI 中的 generate-asymmetric-pair 类别命令和设置为的wrap属性来生成RSA密钥对。true

用户类型

以下类型的用户均可运行此命令。

  • 加密用户 (CUs)

要求

  • 要运行此命令,必须以 CU 身份登录。

语法

aws-cloudhsm > help key wrap rsa-oaep
Usage: key wrap rsa-oaep [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
      --hash-function <HASH_FUNCTION>
          Hash algorithm [possible values: sha1, sha224, sha256, sha384, sha512]
      --mgf <MGF>
          Mask Generation Function algorithm [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
  -h, --help
          Print help

示例

此示例说明如何使用wrap属性值设置为的RSA公钥使用该key wrap rsa-oaep命令true

aws-cloudhsm > key wrap rsa-oaep --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example --hash-function sha256 --mgf mgf1-sha256
{
  "error_code": 0,
  "data": {
    "payload-key-reference": "0x00000000001c08f1",
    "wrapping-key-reference": "0x00000000007008da",
    "wrapped-key-data": "OjJe4msobPLz9TuSAdULEu17T5rMDWtSlLyBSkLbaZnYzzpdrhsbGLbwZJCtB/jGkDNdB4qyTAOQwEpggGf6v+Yx6JcesNeKKNU8XZal/YBoHC8noTGUSDI2qr+u2tDc84NPv6d+F2KOONXsSxMhmxzzNG/gzTVIJhOuy/B1yHjGP4mOXoDZf5+7f5M1CjxBmz4Vva/wrWHGCSG0yOaWblEvOiHAIt3UBdyKmU+/My4xjfJv7WGGu3DFUUIZ06TihRtKQhUYU1M9u6NPf9riJJfHsk6QCuSZ9yWThDT9as6i7e3htnyDhIhGWaoK8JU855cN/YNKAUqkNpC4FPL3iw=="
  }
}

参数

<CLUSTER_ID>

要运行此操作的集群的 ID。

必需:如果已配置多个集群。

<PAYLOAD_FILTER>

密钥引用(例如 key-reference=0xabc)或空格分隔的密钥属性列表,采用 attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE 形式,可选择有效载荷密钥。

必需:是

<PATH>

保存包装密钥数据的二进制文件的路径。

必需:否

<WRAPPING_FILTER>

密钥引用(例如 key-reference=0xabc)或空格分隔的密钥属性列表,采用 attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE 形式,可选择包装密钥。

必需:是

<MGF>

指定掩码生成函数。

注意

掩码生成函数哈希函数必须与签名机制哈希函数相匹配。

有效值

  • mgf1-sha1

  • mgf1-sha224

  • mgf1-sha256

  • mgf1-sha384

  • mgf1-sha512

必需:是

<WRAPPING_APPROVALR>

指定已签名法定令牌文件的文件路径,以批准封装密钥的操作。仅当包装密钥的密钥管理服务法定值大于 1 时才需要。

<PAYLOAD_APPROVALR>

指定用于批准有效载荷密钥操作的已签名法定令牌文件的文件路径。仅当有效载荷密钥的密钥管理服务法定值大于 1 时才需要。

相关 主题