使用 RSA- OAEP使用 Cloud 包裝金鑰HSM CLI - AWS CloudHSM
使用者類型要求語法範例引數相關主題

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 RSA- OAEP使用 Cloud 包裝金鑰HSM CLI

在 CloudHSM 中使用 key wrap rsa-oaep命令CLI,在硬體安全模組 (HSM) 和包裝機制上使用RSA公有金鑰RSA-OAEP來包裝承載金鑰。承載金鑰的extractable屬性必須設定為 true

只有建立金鑰的加密使用者 (CU) 金鑰擁有者,才能包裝金鑰。共用金鑰的使用者可在密碼編譯操作中使用金鑰。

若要使用 key wrap rsa-oaep命令,您必須先在 AWS CloudHSM 叢集中擁有 RSA金鑰。您可以使用 Cloud generate-asymmetric-pair中的類別HSM CLI命令和設定為 的wrap屬性來產生RSA金鑰對true

使用者類型

下列類型的使用者可以執行此命令。

  • 加密使用者 (CUs)

要求

  • 若要執行此命令,必須以 CU 的身分登入。

語法

aws-cloudhsm > help key wrap rsa-oaep
Usage: key wrap rsa-oaep [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --hash-function <HASH_FUNCTION>
          Hash algorithm [possible values: sha1, sha224, sha256, sha384, sha512]
      --mgf <MGF>
          Mask Generation Function algorithm [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
  -h, --help
          Print help

範例

此範例示範如何使用 key wrap rsa-oaep命令,該命令使用wrap屬性值設定為 的RSA公有金鑰true

aws-cloudhsm > key wrap rsa-oaep --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example --hash-function sha256 --mgf mgf1-sha256
{
  "error_code": 0,
  "data": {
    "payload-key-reference": "0x00000000001c08f1",
    "wrapping-key-reference": "0x00000000007008da",
    "wrapped-key-data": "OjJe4msobPLz9TuSAdULEu17T5rMDWtSlLyBSkLbaZnYzzpdrhsbGLbwZJCtB/jGkDNdB4qyTAOQwEpggGf6v+Yx6JcesNeKKNU8XZal/YBoHC8noTGUSDI2qr+u2tDc84NPv6d+F2KOONXsSxMhmxzzNG/gzTVIJhOuy/B1yHjGP4mOXoDZf5+7f5M1CjxBmz4Vva/wrWHGCSG0yOaWblEvOiHAIt3UBdyKmU+/My4xjfJv7WGGu3DFUUIZ06TihRtKQhUYU1M9u6NPf9riJJfHsk6QCuSZ9yWThDT9as6i7e3htnyDhIhGWaoK8JU855cN/YNKAUqkNpC4FPL3iw=="
  }
}

引數

<CLUSTER_ID>

執行此操作的叢集 ID。

必要:如果已設定多個叢集。

<PAYLOAD_FILTER>

索引鍵參考 (例如 key-reference=0xabc) 或以 的形式分隔索引鍵屬性清單attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE,以選取承載索引鍵。

必要:是

<PATH>

儲存封裝金鑰資料的二進位檔案路徑。

必要:否

<WRAPPING_FILTER>

索引鍵參考 (例如 key-reference=0xabc) 或以 形式分隔的索引鍵屬性清單attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE,以選取包裝索引鍵。

必要:是

<MGF>

指定遮罩產生函數。

注意

遮罩產生函數雜湊函數必須符合簽署機制雜湊函數。

有效值

  • mgf1-sha1

  • mgf1-sha224

  • mgf1-sha256

  • mgf1-sha384

  • mgf1-sha512

必要:是

相關主題