使用 依屬性搜尋 AWS CloudHSM 金鑰 KMU - AWS CloudHSM
語法範例參數輸出相關主題

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 依屬性搜尋 AWS CloudHSM 金鑰 KMU

使用 AWS CloudHSM key_mgmt_util 中的 findKey命令,依索引鍵屬性的值搜尋索引鍵。當一個金鑰符合您設定的所有條件時,findKey 會傳回金鑰控制代碼。如果沒有參數, 會findKey傳回您可以在 中使用的所有金鑰的金鑰控點HSM。若要尋找特定金鑰的屬性值,請使用 getAttribute

就像所有 key_mgmt_util 命令一樣,findKey 也是針對特定使用者。只會傳回目前的使用者在密碼編譯操作中可以使用的金鑰。這包括目前使用者擁有的金鑰,以及已經與目前使用者共用的金鑰。

在執行任何 key_mgmt_util 命令之前,您必須啟動 key_mgmt_util,並以加密使用者 (CU) HSM身分登入

語法

findKey -h 

findKey [-c <key class>] 
        [-t <key type>]
        [-l <key label>] 
        [-id <key ID>]
        [-sess (0 | 1)] 
        [-u <user-ids>]
        [-m <modulus>]
        [-kcv <key_check_value>]

範例

這些範例示範如何使用 findKey 尋找和識別 中的金鑰HSMs。

範例 :尋找所有金鑰

此命令會在 中找到目前使用者的所有金鑰HSM。輸出包含使用者擁有和共用的金鑰,以及 中的所有公有金鑰HSMs。

若要取得具有特定金鑰控制碼之金鑰的屬性,請使用 getAttribute。若要判斷目前使用者是否擁有或共用特定金鑰,請在 cloudhsm_mgmt_util findAllKeys中使用 getKeyInfo或 。

Command: findKey

Total number of keys present 13

 number of keys matched from start index 0::12
6, 7, 524296, 9, 262154, 262155, 262156, 262157, 262158, 262159, 262160, 262161, 262162

        Cluster Error Status
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

        Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS
範例 :依類型、使用者和工作階段尋找金鑰

此命令會尋找目前使用者和使用者 3 可以使用的持久性AES金鑰。(使用者 3 或許能夠使用目前使用者看不到的其他金鑰。)

Command: findKey -t 31 -sess 0 -u 3
範例 :依類別和標籤尋找金鑰

此命令針對目前使用者找出具有 2018-sept 標籤的所有公有金鑰。

Command: findKey -c 2 -l 2018-sept
範例 :依模數尋找RSA索引鍵

此命令會尋找檔案中使用模數建立的目前使用者RSA金鑰 (類型 0)m4.txt

Command: findKey -t 0 -m m4.txt

參數

-h

顯示命令的說明。

必要:是

-t

尋找指定類型的金鑰。輸入代表金鑰類別的常數。例如,若要尋找 3DES 個金鑰,請輸入 -t 21

有效值:

必要:否

-c

尋找指定類別中的金鑰。輸入代表金鑰類別的常數。例如,若要尋找公有金鑰,請輸入 -c 2

每個金鑰類型的有效值:

  • 2:公有。此類別包含公有/私有金鑰對中的公有金鑰。

  • 3:私有。此類別包含公有/私有金鑰對中的私有金鑰。

  • 4:私密。此類別包含所有對稱金鑰。

必要:否

-l

尋找具有指定標籤的金鑰。輸入確切的標籤。--l 值中不可使用萬用字元或規則表達式。

必要:否

-id

尋找具有指定 ID 的金鑰。輸入確切的 ID 字串。-id 值中不可使用萬用字元或規則表達式。

必要:否

-sess

依工作階段狀態尋找金鑰。若要尋找只在目前工作階段中有效的金鑰,請輸入 1。若要尋找持久性金鑰,請輸入 0

必要:否

-u

尋找指定的使用者和目前的使用者共用的金鑰。輸入以逗號分隔HSM的使用者 清單IDs,例如 -u 3-u 4,7。若要在 上尋找IDs使用者 HSM,請使用 listUsers

當您指定一個使用者 ID 時,findKey 會傳回該使用者的金鑰。當您指定多個使用者 時IDs, 會findKey傳回所有指定使用者可以使用的金鑰。

由於 findKey 只會傳回目前使用者可以使用的金鑰,-u 結果一律與目前使用者的金鑰相同或為其中一部分。若要取得任何使用者擁有或共用的所有金鑰,加密管理員 (COs) 可以在 cloudhsm_mgmt_util findAllKeys中使用 。

必要:否

-m

尋找在指定檔案中使用RSA模數建立的金鑰。輸入存放模數之檔案的路徑。

-m 指定包含要比對之模數的二進位檔案 RSA (選用)。

必要:否

-kcv

尋找具有指定之金鑰檢查值的金鑰。

金鑰檢查值 (KCV) 是HSM匯入或產生金鑰時產生的金鑰的 3 位元組雜湊或檢查總和。您也可以計算 KCV外部的 HSM,例如匯出金鑰之後。然後,您可以比較這些KCV值,以確認金鑰的身分和完整性。若要取得金鑰KCV的 ,請使用 getAttribute

AWS CloudHSM 使用以下標準方法產生金鑰檢查值:

  • 對稱密鑰:使用金鑰加密零塊的結果的前 3 個位元組。

  • 非對稱金鑰對 :公有金鑰 SHA-1 雜湊的前 3 個位元組。

  • HMAC 金鑰:目前不支援 KCV HMAC金鑰。

必要:否

輸出

findKey 輸出會列出相符金鑰的總數及其金鑰控制代碼。

        Command:  findKey
Total number of keys present 10

 number of keys matched from start index 0::9
6, 7, 8, 9, 10, 11, 262156, 262157, 262158, 262159

        Cluster Error Status
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 2 and err state 0x00000000 : HSM Return: SUCCESS

        Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS

相關主題