findAllKeys - AWS CloudHSM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

findAllKeys

El comando findAllKeys de cloudhsm_mgmt_util obtiene las claves que un usuario de criptografía (CU) especificado posee o comparte. También devuelve un valor hash de los datos de usuario en cada uno de los HSM. Puede utilizar el hash para determinar de un vistazo si los usuarios, la propiedad de la clave y los datos de uso compartido de la clave son los mismos en todos los HSM en el clúster. En la salida, las claves que son propiedad del usuario se marcan con (o), mientras que las claves compartidas se marcan con (s).

findAllKeys solo devuelve claves públicas cuando el CU especificado posee la clave, aunque todos los CU del HSM puedan utilizar cualquier clave pública. Este comportamiento es diferente del comando findKey de key_mgmt_util, que devuelve claves públicas para todos los usuarios de CU.

Solo los responsables de criptografía (CO y PCO) y los usuarios de dispositivos (AU) pueden ejecutar este comando. Los usuarios de criptografía (CU) pueden ejecutar los siguientes comandos:

  • listUsers para encontrar todos los usuarios

  • findKey en key_mgmt_util para encontrar las claves que pueden utilizar.

  • getKeyInfoen key_mgmt_util para encontrar el propietario y los usuarios compartidos de una clave en particular que poseen o comparten

Para poder ejecutar cualquier comando de CMU, debe iniciar la CMU e iniciar sesión en el HSM. Asegúrese de que inicia sesión con un tipo de usuario que pueda ejecutar los comandos que planea utilizar.

Si agrega o elimina uno o varios HSM, actualice los archivos de configuración de la CMU. De lo contrario, es posible que los cambios que realice no se hagan efectivos para todos los HSM del clúster.

Tipo de usuario

Los usuarios siguientes pueden ejecutar este comando.

  • Responsables de criptografía (CO, PCO)

  • Usuarios de dispositivos (AU)

Sintaxis

Dado que estos comandos no tienen parámetros designados, debe introducir los argumentos en el orden especificado en los diagramas de sintaxis.

findAllKeys <user id> <key hash (0/1)> [<output file>]

Ejemplos

En estos ejemplos, se muestra cómo se utiliza findAllKeys para encontrar todas las claves de un usuario y obtener un hash de la información del usuario de las claves en cada uno de los HSM.

ejemplo : búsqueda de las claves para un CU

Este ejemplo utiliza findAllKeys para buscar las claves en los HSM que el usuario 4 posee y comparte. El comando utiliza un valor de 0 para el segundo argumento para suprimir el valor hash. Dado que se omite el nombre del archivo opcional, el comando escribe en stdout (salida estándar).

El resultado muestra que el usuario 4 puede utilizar 6 claves: 8, 9, 17, 262162, 19 y 31. La salida utiliza (s) para marcar las claves que el usuario comparte explícitamente. Las claves que posee el usuario se marcan con (o) y se componen tanto de claves simétricas y privadas que el usuario no comparte como de claves públicas que están disponibles para todos los usuarios de criptografía.

aws-cloudhsm> findAllKeys 4 0 Keys on server 0(10.0.0.1): Number of keys found 6 number of keys matched from start index 0::6 8(s),9(s),17,262162(s),19(o),31(o) findAllKeys success on server 0(10.0.0.1) Keys on server 1(10.0.0.2): Number of keys found 6 number of keys matched from start index 0::6 8(s),9(s),17,262162(s),19(o),31(o) findAllKeys success on server 1(10.0.0.2) Keys on server 1(10.0.0.3): Number of keys found 6 number of keys matched from start index 0::6 8(s),9(s),17,262162(s),19(o),31(o) findAllKeys success on server 1(10.0.0.3)
ejemplo Verificación de que los datos del usuario están sincronizados

Este ejemplo utiliza findAllKeys para comprobar que todos los HSM del clúster contienen los mismos usuarios, la misma propiedad de las claves y los mismos valores de uso compartido de claves. Para ello, obtiene un hash de los datos de usuario de la clave en cada HSM y compara los valores hash.

Para obtener el hash de la clave, el comando utiliza un valor de 1 en el segundo argumento. El nombre del archivo opcional se omite, por lo que el comando escribe el hash de la clave en stdout.

El ejemplo especifica el usuario 6, pero el valor hash será el mismo para cualquier usuario que posea o comparta cualquiera de las claves en los HSM. Si el usuario especificado no posee ni comparte ninguna clave, como por ejemplo un CO, el comando no devuelve un valor hash.

El resultado muestra que el hash de la clave es idéntico para los dos HSM del clúster. Si uno de los HSM tuviera diferentes usuarios, diferentes propietarios de clave o diferentes usuarios compartidos, los valores del hash de la clave no serían iguales.

aws-cloudhsm> findAllKeys 6 1 Keys on server 0(10.0.0.1): Number of keys found 3 number of keys matched from start index 0::3 8(s),9(s),11,17(s) Key Hash: 55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49 findAllKeys success on server 0(10.0.0.1) Keys on server 1(10.0.0.2): Number of keys found 3 number of keys matched from start index 0::3 8(s),9(s),11(o),17(s) Key Hash: 55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49 findAllKeys success on server 1(10.0.0.2)

Este comando demuestra que el valor hash representa los datos de usuario para todas las claves en el HSM. El comando utiliza findAllKeys para el usuario 3. A diferencia del usuario 6, que posee o comparte solo 3 claves, el usuario 3 es propietario o comparte 17 claves, pero el valor del hash de la clave es el mismo.

aws-cloudhsm> findAllKeys 3 1 Keys on server 0(10.0.0.1): Number of keys found 17 number of keys matched from start index 0::17 6(o),7(o),8(s),11(o),12(o),14(o),262159(o),262160(o),17(s),262162(s),19(s),20(o),21(o),262177(o),262179(o),262180(o),262181(o) Key Hash: 55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49 findAllKeys success on server 0(10.0.0.1) Keys on server 1(10.0.0.2): Number of keys found 17 number of keys matched from start index 0::17 6(o),7(o),8(s),11(o),12(o),14(o),262159(o),262160(o),17(s),262162(s),19(s),20(o),21(o),262177(o),262179(o),262180(o),262181(o) Key Hash: 55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49 findAllKeys success on server 1(10.0.0.2)

Argumentos

Dado que estos comandos no tienen parámetros designados, debe introducir los argumentos en el orden especificado en los diagramas de sintaxis.

findAllKeys <user id> <key hash (0/1)> [<output file>]
<user id>

Obtiene todas las claves que el usuario especificado posee o comparte. Escriba el ID del usuario en los HSM. Para encontrar los ID de todos los usuarios, utilice listUsers.

Todos los ID de usuario son válidos, pero findAllKeys solamente devuelve las claves de los usuarios de criptografía (CU).

Obligatorio: sí

<key hash>

Incluye (1) o excluye (0) un hash de la propiedad del usuario y de los datos de uso compartido para todas las claves en cada HSM.

Cuando el argumento user id representa a un usuario que posee o comparte claves, se rellena el hash de la clave. El valor del hash de la clave es idéntico para todos los usuarios que poseen o comparten claves en el HSM, aunque posean y compartan claves diferentes. Sin embargo, cuando el user id representa a un usuario que no posee ni comparte ninguna clave, como un CO, el valor hash no se rellena.

Obligatorio: sí

<output file>

Escribe la salida en el archivo especificado.

Obligatorio: no

Valor predeterminado: stdout

Temas relacionados de