Wickeln Sie einen Schlüssel mit RSA — OAEP mithilfe von Cloud HSM CLI - AWS CloudHSM
BenutzertypVoraussetzungenSyntaxBeispielArgumenteVerwandte Themen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wickeln Sie einen Schlüssel mit RSA — OAEP mithilfe von Cloud HSM CLI

Verwenden Sie den key wrap rsa-oaep Befehl in Cloud HSMCLI, um einen Payload-Schlüssel mithilfe eines RSA öffentlichen Schlüssels auf dem Hardware-Sicherheitsmodul (HSM) und des RSA-OAEP Umschließungsmechanismus zu verpacken. Das extractable Attribut des Payload-Schlüssels muss auf gesetzt sein. true

Nur der Besitzer eines Schlüssels, d. h. der Crypto-Benutzer (CU), der den Schlüssel erstellt hat, kann den Schlüssel umschließen. Benutzer, die den Schlüssel gemeinsam nutzen, können den Schlüssel für kryptografische Operationen verwenden.

Um den key wrap rsa-oaep Befehl verwenden zu können, benötigen Sie zunächst einen RSA Schlüssel in Ihrem AWS CloudHSM Cluster. Sie können ein RSA Schlüsselpaar generieren, indem Sie den Die generate-asymmetric-pair Kategorie in der Cloud HSM CLI Befehl verwenden und das wrap Attribut auf setzen. true

Benutzertyp

Die folgenden Benutzertypen können diesen Befehl ausführen.

  • Crypto-Benutzer () CUs

Voraussetzungen

  • Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

Syntax

aws-cloudhsm > help key wrap rsa-oaep
Usage: key wrap rsa-oaep [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --hash-function <HASH_FUNCTION>
          Hash algorithm [possible values: sha1, sha224, sha256, sha384, sha512]
      --mgf <MGF>
          Mask Generation Function algorithm [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
  -h, --help
          Print help

Beispiel

Dieses Beispiel zeigt, wie der key wrap rsa-oaep Befehl mit einem RSA öffentlichen Schlüssel verwendet wird, dessen wrap Attributwert auf gesetzt isttrue.

aws-cloudhsm > key wrap rsa-oaep --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example --hash-function sha256 --mgf mgf1-sha256
{
  "error_code": 0,
  "data": {
    "payload-key-reference": "0x00000000001c08f1",
    "wrapping-key-reference": "0x00000000007008da",
    "wrapped-key-data": "OjJe4msobPLz9TuSAdULEu17T5rMDWtSlLyBSkLbaZnYzzpdrhsbGLbwZJCtB/jGkDNdB4qyTAOQwEpggGf6v+Yx6JcesNeKKNU8XZal/YBoHC8noTGUSDI2qr+u2tDc84NPv6d+F2KOONXsSxMhmxzzNG/gzTVIJhOuy/B1yHjGP4mOXoDZf5+7f5M1CjxBmz4Vva/wrWHGCSG0yOaWblEvOiHAIt3UBdyKmU+/My4xjfJv7WGGu3DFUUIZ06TihRtKQhUYU1M9u6NPf9riJJfHsk6QCuSZ9yWThDT9as6i7e3htnyDhIhGWaoK8JU855cN/YNKAUqkNpC4FPL3iw=="
  }
}

Argumente

<CLUSTER_ID>

Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.

Erforderlich: Wenn mehrere Cluster konfiguriert wurden.

<PAYLOAD_FILTER>

Schlüsselreferenz (z. B.key-reference=0xabc) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUEZur Auswahl eines Payload-Schlüssels“.

Erforderlich: Ja

<PATH>

Pfad zur Binärdatei, in der die verpackten Schlüsseldaten gespeichert werden.

Erforderlich: Nein

<WRAPPING_FILTER>

Schlüsselreferenz (z. B.key-reference=0xabc) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUEZur Auswahl eines Umbruchschlüssels“.

Erforderlich: Ja

<MGF>

Gibt die Funktion zur Maskengenerierung an.

Anmerkung

Die Hash-Funktion der Maskengenerierungsfunktion muss mit der Hash-Funktion des Signaturmechanismus übereinstimmen.

Zulässige Werte

  • mgf1-sha1

  • mgf1-sha224

  • mgf1-sha256

  • mgf1-sha384

  • mgf1-sha512

Erforderlich: Ja

Verwandte Themen