Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Schlüssel auspacken aes-no-pad
Der key unwrap aes-no-pad Befehl entpackt mithilfe des AES-Wrapping-Schlüssels und des Entpackungsmechanismus einen Payload-Schlüssel in den Cluster. AES-NO-PAD
Unverpackte Schlüssel können auf die gleiche Weise verwendet werden wie die Schlüssel, die von generiert wurden. AWS CloudHSM Um anzuzeigen, dass sie nicht lokal generiert wurden, ist ihr local Attribut auf false gesetzt.
Um den key unwrap aes-no-pad Befehl verwenden zu können, müssen Sie den AES-Wrapping-Schlüssel in Ihrem AWS CloudHSM Cluster haben und sein unwrap Attribut muss auf gesetzt seintrue.
Benutzertyp
Die folgenden Benutzertypen können diesen Befehl ausführen.
-
Crypto-Benutzer (CUs)
Voraussetzungen
-
Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.
Syntax
aws-cloudhsm >help key unwrap aes-no-padUsage: key unwrap aes-no-pad [OPTIONS] --filter [<FILTER>...] --key-type-class<KEY_TYPE_CLASS>--label<LABEL><--data-path<DATA_PATH>|--data<DATA>> Options: --cluster-id<CLUSTER_ID>Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --filter [<FILTER>...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with --data-path<DATA_PATH>Path to the binary file containing the wrapped key data --data<DATA>Base64 encoded wrapped key data --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...] Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key --key-type-class<KEY_TYPE_CLASS>Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private] --label<LABEL>Label for the unwrapped key --session Creates a session key that exists only in the current session. The key cannot be recovered after the session ends -h, --help Print help
Beispiele
Diese Beispiele zeigen, wie der key unwrap aes-no-pad Befehl mithilfe eines AES-Schlüssels verwendet wird, dessen unwrap Attributwert auf gesetzt isttrue.
Beispiel: Entpacken Sie einen Payload-Schlüssel aus Base64-kodierten verpackten Schlüsseldaten
aws-cloudhsm >key unwrap aes-no-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data eXK3PMAOnKM9y3YX6brbhtMoC060EOH9{ "error_code": 0, "data": { "key": { "key-reference": "0x00000000001c08ec", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "aes-unwrapped", "id": "0x", "check-value": "0x8d9099", "class": "secret-key", "encrypt": false, "decrypt": false, "token": true, "always-sensitive": false, "derive": false, "destroyable": true, "extractable": true, "local": false, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": false, "verify": true, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 16 } } } }
Beispiel: Entpacken Sie einen Payload-Schlüssel, der über einen Datenpfad bereitgestellt wird
aws-cloudhsm >key unwrap aes-no-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data-path payload-key.pem{ "error_code": 0, "data": { "key": { "key-reference": "0x00000000001c08ec", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "aes-unwrapped", "id": "0x", "check-value": "0x8d9099", "class": "secret-key", "encrypt": false, "decrypt": false, "token": true, "always-sensitive": false, "derive": false, "destroyable": true, "extractable": true, "local": false, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": false, "verify": true, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 16 } } } }
Argumente
<CLUSTER_ID>-
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.
Erforderlich: Wenn mehrere Cluster konfiguriert wurden.
<FILTER>-
Schlüsselreferenz (z. B.
key-reference=0xabc) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Formattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE, dass ein Schlüssel zum Entpacken ausgewählt werden soll.Erforderlich: Ja
<DATA_PATH>-
Pfad zur Binärdatei, die die verpackten Schlüsseldaten enthält.
Erforderlich: Ja (sofern nicht über Base64-kodierte Daten bereitgestellt)
<DATA>-
Base64-kodierte umhüllte Schlüsseldaten.
Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)
<ATTRIBUTES>-
Durch Leerzeichen getrennte Liste von Schlüsselattributen in Form von
KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUEfür den umschlossenen Schlüssel.Erforderlich: Nein
<KEY_TYPE_CLASS>-
Schlüsseltyp und Klasse des umschlossenen Schlüssels [mögliche Werte:
aesdes3,ec-private,generic-secret,,rsa-private].Erforderlich: Ja
<LABEL>-
Bezeichnung für den entpackten Schlüssel.
Erforderlich: Ja
<SESSION>-
Erstellt einen Sitzungsschlüssel, der nur in der aktuellen Sitzung existiert. Der Schlüssel kann nach Ende der Sitzung nicht wiederhergestellt werden.
Erforderlich: Nein
Verwandte Themen
