aesWrapUnwrap - AWS CloudHSM
SyntaxBeispieleParameterVerwandte Themen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

aesWrapUnwrap

Der Befehl aesWrapUnwrap verschlüsselt oder entschlüsselt den Inhalt einer Datei auf einem Datenträger. Mit diesem Befehl können Sie Verschlüsselungsschlüssel ein- und auspacken. Sie können ihn für jede Datei verwenden, die weniger als 4 KB (4096 Byte) Daten enthält.

aesWrapUnwrap verwendet AES Key Wrap. Es verwendet einen AES-Schlüssel im HSM als Ver- und Entpackschlüssel. Dann schreibt er das Ergebnis in eine andere Datei auf dem Datenträger.

Bevor Sie einen key_mgmt_util-Befehl ausführen, müssen Sie key_mgmt_util starten und sich am HSM als Crypto-Benutzer (CU) anmelden.

Syntax

aesWrapUnwrap -h

aesWrapUnwrap -m <wrap-unwrap mode>
              -f <file-to-wrap-unwrap> 
              -w <wrapping-key-handle>               
              [-i <wrapping-IV>] 
              [-out <output-file>]

Beispiele

Diese Beispiele zeigen, wie man mit aesWrapUnwrap einen Verschlüsselungsschlüssel in einer Datei verschlüsselt und entschlüsselt.

Beispiel : Verschlüsselungsschlüssel verpacken

Dieser Befehl verwendet aesWrapUnwrap, um einen symmetrischen Dreifach-DES-Schlüssel, der vom HSM im Klartext exportiert wurde, in die 3DES.key-Datei zu packen. Mit einem ähnlichen Befehl können Sie jeden in einer Datei gespeicherten Schlüssel verpacken.

Der Befehl verwendet den -m-Parameter mit dem Wert 1, um den Wrap-Modus festzulegen. Er verwendet den -w-Parameter, um einen AES-Schlüssel im HSM (Key-Handle 6) als Wrapping-Schlüssel anzugeben. Der resultierende verpackte Schlüssel wird in die 3DES.key.wrapped-Datei geschrieben.

Die Ausgabe zeigt, dass der Befehl erfolgreich war und dass die Operation die Standard-IV verwendet hat, die bevorzugt wird.

 Command:  aesWrapUnwrap -f 3DES.key -w 6 -m 1 -out 3DES.key.wrapped

        Warning: IV (-i) is missing.
                 0xA6A6A6A6A6A6A6A6 is considered as default IV
result data:
49 49 E2 D0 11 C1 97 22
17 43 BD E3 4E F4 12 75
8D C1 34 CF 26 10 3A 8D
6D 0A 7B D5 D3 E8 4D C2
79 09 08 61 94 68 51 B7

result written to file 3DES.key.wrapped

        Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS
Beispiel : Verschlüsselungsschlüssel entpacken

Dieses Beispiel zeigt, wie man aesWrapUnwrap verwendet, um einen verpackten (verschlüsselten) Schlüssel in einer Datei zu entpacken (entschlüsseln). Sie können eine solche Operation durchführen, bevor Sie einen Schlüssel in das HSM importieren. Wenn Sie beispielsweise versuchen, mit dem Befehl imSymKey einen verschlüsselten Schlüssel zu importieren, wird ein Fehler zurückgegeben, da der verschlüsselte Schlüssel nicht das Format hat, das für einen solchen Klartext-Schlüssel erforderlich ist.

Der Befehl entpackt den Schlüssel in der Datei 3DES.key.wrapped und schreibt den Klartext in die Datei 3DES.key.unwrapped. Der Befehl verwendet den -m-Parameter mit dem Wert 0, um den Unwrap-Modus festzulegen. Er verwendet den -w-Parameter, um einen AES-Schlüssel im HSM (Key-Handle 6) als Wrapping-Schlüssel anzugeben. Der resultierende verpackte Schlüssel wird in die 3DES.key.unwrapped-Datei geschrieben. 

 Command:  aesWrapUnwrap -m 0 -f 3DES.key.wrapped -w 6 -out 3DES.key.unwrapped

        Warning: IV (-i) is missing.
                 0xA6A6A6A6A6A6A6A6 is considered as default IV
result data:
14 90 D7 AD D6 E4 F5 FA
A1 95 6F 24 89 79 F3 EE
37 21 E6 54 1F 3B 8D 62

result written to file 3DES.key.unwrapped

        Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS

Parameter

-h

Zeigt Hilfe für den Befehl an.

Erforderlich: Ja

-m

Gibt den Modus an. Um den Dateiinhalt zu verpacken (verschlüsseln), geben Sie 1 ein. Um den Dateiinhalt zu entpacken (entschlüsseln), geben Sie 0 ein.

Erforderlich: Ja

-f

Gibt die zu verpackende Datei an. Geben Sie eine Datei ein, die weniger als 4 KB (4096 Byte) Daten enthält. Diese Operation wurde entwickelt, um Verschlüsselungsschlüssel ein- und auszupacken.

Erforderlich: Ja

-w

Gibt den Wrapping-Schlüssel an. Geben Sie das Schlüssel-Handle eines AES-Schlüssels auf dem HSM ein. Dieser Parameter muss angegeben werden. Verwenden Sie den findKey-Befehl, um Schlüssel-Handles zu finden.

Um einen Wrapping Key zu erstellen, verwenden Sie genSymKey, um einen AES-Schlüssel (Typ 31) zu erzeugen.

Erforderlich: Ja

-i

Gibt einen alternativen Initialwert (IV) für den Algorithmus an. Verwenden Sie den Standardwert, es sei denn, es gibt eine spezielle Bedingung, die eine Alternative erfordert.

Standard: 0xA6A6A6A6A6A6A6A6. Der Standardwert ist in der Spezifikation des AES Key Wrap-Algorithmus definiert.

Erforderlich: Nein

-out

Gibt einen alternativen Namen für die Ausgabedatei an, die den verpackten oder entpackten Schlüssel enthält. Die Voreinstellung ist wrapped_key (für Wrap-Operationen) und unwrapped_key (für Unwrap-Operationen) im lokalen Verzeichnis.

Wenn die Datei vorhanden ist, wird diese ohne Warnung von aesWrapUnwrap überschrieben. Wenn der Befehl fehlschlägt, erstellt aesWrapUnwrap eine Ausgabedatei ohne Inhalt.

Voreinstellung: Für Verpacken: wrapped_key. Zum Entpacken: unwrapped_key.

Erforderlich: Nein

Verwandte Themen