getKeyInfo - AWS CloudHSM
BenutzertypSyntaxBeispieleArgumenteVerwandte Themen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

getKeyInfo

Der getKeyInfo-Befehl in key_mgmt_util gibt die HSM-Benutzer-IDs der Benutzer zurück, die den Schlüssel verwenden können, einschließlich Eigentümer und Crypto-Benutzer (CUs), mit denen der Schlüssel geteilt wird. Wenn die Quorum-Authentifizierung für einen Schlüssel aktiviert ist, gibt getKeyInfo auch die Anzahl der Benutzer zurück, die kryptografische Operationen genehmigen müssen, von denen der Schlüssel verwendet wird. Sie können getKeyInfo nur auf Schlüsseln ausführen, die Ihnen gehören oder die für Sie freigegeben wurden.

Wenn Sie getKeyInfo auf öffentliche Schlüsseln ausführen, gibt getKeyInfo nur den Schlüsseleigentümer zurück, auch wenn alle HSM-Benutzer den öffentlichen Schlüssel verwenden können. Verwenden Sie zur Suche nach den HSM-Benutzer-IDs der Benutzer in Ihren HSMs listUsers. Um nach den Schlüsseln für einen bestimmten Benutzer zu suchen, verwenden Sie findKey -u in key_mgmt_util. Crypto Officers können den Befehl in findAllKeyscloudhsm_mgmt_util verwenden.

Ihren gehören die Schlüssel, die Sie erstellen. Sie können einen Schlüssel für andere Benutzer freigeben, wenn Sie ihn erstellen. Nutzen Sie dann zum Freigeben oder zum Aufheben der Freigabe shareKey in cloudhsm_mgmt_util.

Vor dem Ausführen eines CMU-Befehls müssen Sie die CMU starten und sich beim HSM anmelden. Stellen Sie sicher, dass Sie sich mit einem Benutzertyp anmelden, der die Befehle ausführen kann, die Sie verwenden möchten.

Wenn Sie HSMs hinzufügen oder löschen, aktualisieren Sie die Konfigurationsdateien für CMU. Andernfalls wirken sich die vorgenommenen Änderungen möglicherweise nicht auf alle HSMs im Cluster aus.

Benutzertyp

Die folgenden Benutzertypen können diesen Befehl ausführen.

  • Crypto-Benutzer (Crypto User, CU)

Syntax

getKeyInfo -k <key-handle> [<output file>]

Beispiele

Diese Beispiele veranschaulichen die Verwendung von getKeyInfo zum Abrufen von Informationen über die Benutzer eines Schlüssels.

Beispiel : Abfragen der Benutzer eines asymmetrischen Schlüssels

Über diesen Befehl erhalten Sie die Benutzer, die den (asymmetrischen) AES-Schlüssel mit dem Schlüssel-Handle 262162 verwenden können. Die Ausgabe zeigt, dass Benutzer 3 den Schlüssel besitzt und mit Benutzer 4 und 6 teilt.

Nur die Benutzer 3, 4 und 6 können getKeyInfo auf dem Schlüssel 262162 ausführen. 

aws-cloudhsm>getKeyInfo 262162
Key Info on server 0(10.0.0.1):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 2 user(s):

                 4
                 6
Key Info on server 1(10.0.0.2):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 2 user(s):

                 4
                 6
Beispiel : Abfragen der Benutzer eines symmetrischen Schlüsselpaares

Diese Befehle verwenden getKeyInfo, um die Benutzer abzurufen, die die Schlüssel in einem (symmetrischen) ECC-Schlüsselpaar verwenden können. Das Schlüssel-Handle des öffentlichen Schlüssels ist 262179. Das Schlüssel-Handle des privaten Schlüssels ist 262177.

Wenn Sie getKeyInfo auf dem privaten Schlüssel (262177) ausführen, werden der Schlüsselbesitzer (3) und die Crypto-Benutzer (CUs) 4 zurückgegeben, mit denen der Schlüssel geteilt wird. 

aws-cloudhsm>getKeyInfo -k 262177
Key Info on server 0(10.0.0.1):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 1 user(s):

                 4
Key Info on server 1(10.0.0.2):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 1 user(s):

                 4

Wenn Sie getKeyInfo auf dem öffentlichen Schlüssel (262179) ausführen, wird nur der Schlüsseleigentümer, Benutzer 3, zurückgegeben. 

aws-cloudhsm>getKeyInfo -k 262179
Key Info on server 0(10.0.3.10):

        Token/Flash Key,

        Owned by user 3

Key Info on server 1(10.0.3.6):

        Token/Flash Key,

        Owned by user 3

Um zu bestätigen, dass Benutzer 4 den öffentlichen Schlüssel (und alle öffentlichen Schlüssel im HSM) verwenden kann, verwenden Sie den -u-Parameter von findKey in key_mgmt_util.

Die Ausgabe zeigt, dass Benutzer 4 sowohl den öffentlichen (262179) als auch den privaten Schlüssel (262177) im Schlüsselpaar verwenden kann. Benutzer 4 kann zudem alle anderen öffentlichen und privaten Schlüssel nutzen, die sie erstellt haben oder die für sie freigegeben wurden. 

Command:  findKey -u 4

Total number of keys present 8

 number of keys matched from start index 0::7
11, 12, 262159, 262161, 262162, 19, 20, 21, 262177, 262179

        Cluster Error Status
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

        Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS
Beispiel : Abrufen des Quorum-Authentifizierungswerts (m_value) für einen Schlüssel

Dieses Beispiel zeigt, wie der m_value für einen Schlüssel abgerufen wird. m_value gibt die Anzahl der Benutzer im Quorum an, die alle kryptografischen Operationen genehmigen müssen, bei denen der Schlüssel verwendet wird, sowie alle Operationen zum Freigeben oder zum Aufheben der Freigabe eines Schlüssels.

Wenn die Quorum-Authentifizierung für einen Schlüssel aktiviert ist, muss das Quorum der Benutzer alle kryptografischen Operationen genehmigen, bei denen der Schlüssel verwendet wird. Zum Aktivieren der Quorum-Authentifizierung und Festlegen der Quorum-Größe nutzen Sie beim Erstellen des Schlüssels den Parameter -m_value.

Dieser Befehl wird verwendet, um einen genSymKey256-Bit-AES-Schlüssel zu erstellen, der mit Benutzer 4 gemeinsam genutzt wird. Er verwendet den Parameter m_value zur Aktivierung der Quorum-Authentifizierung und zur Festlegung der Quorum-Größe auf zwei Benutzer. Die Anzahl der Benutzer muss groß genug sein, um die erforderlichen Genehmigungen bereitstellen zu können.

Die Ausgabe zeigt, dass die Befehl Schlüssel 10 erstellt hat.

 Command:  genSymKey -t 31 -s 32 -l aes256m2 -u 4 -m_value 2

        Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS

        Symmetric Key Created.  Key Handle: 10

        Cluster Error Status
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

Dieser Befehl nutzt getKeyInfo in cloudhsm_mgmt_util zum Abrufen von Informationen über die Benutzer des Schlüssels 10. Die Ausgabe zeigt, dass der Schlüssel im Besitz des Benutzers 3 ist und gemeinsam mit Benutzer 4 verwendet wird. Sie zeigt auch, dass ein Quorum von zwei Benutzern jede kryptografische Operation genehmigen muss, bei der der Schlüssel verwendet wird.

aws-cloudhsm>getKeyInfo 10

Key Info on server 0(10.0.0.1):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 1 user(s):

                 4
         2 Users need to approve to use/manage this key
Key Info on server 1(10.0.0.2):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 1 user(s):

                 4
         2 Users need to approve to use/manage this key

Argumente

Da dieser Befehl keine benannten Parameter hat, müssen Sie die Argumente in der im Syntaxdiagramm angegebenen Reihenfolge eingeben.

getKeyInfo -k <key-handle> <output file>
<key-handle>

Gibt das Schlüssel-Handle eines Schlüssels im HSM an. Geben Sie das Schlüssel-Handle eines Schlüssels ein, den Sie besitzen oder teilen. Dieser Parameter muss angegeben werden.

Erforderlich: Ja

<output file>

Schreibt die Ausgabe nicht in stdout, sondern in die angegebene Datei. Wenn die Datei vorhanden ist, wird diese ohne Warnung überschrieben.

Erforderlich: Nein

Standard: stdout

Verwandte Themen