findAllKeys

La commande de l'outil findAllKeys dans cloudhsm_mgmt_util permet d'obtenir les clés qui appartiennent ou sont partagées par un utilisateur de chiffrement (CU) spécifié. Elle renvoie également un hachage des données utilisateur sur chaque HSM. Vous pouvez utiliser le hachage pour déterminer d'un coup d'œil si les utilisateurs, la propriété de clé et les données de partage de clé sont identiques sur tous les HSM du cluster. Dans la sortie, les clés détenues par l'utilisateur sont annotées par (o) et les clés partagées sont annotées par (s).

findAllKeys renvoie les clés publiques uniquement lorsque l'utilisateur de chiffrement spécifié est propriétaire de la clé, même si tous les utilisateurs de chiffrement du HSM peuvent utiliser n'importe quelle clé publique. Ce comportement est différent de celui de findKey dans key_mgmt_util, qui renvoie les clés publiques pour tous les utilisateurs CU.

Seuls les responsables de chiffrement (CO et PCO) et les utilisateurs de l'application (AU) peuvent exécuter cette commande. Les utilisateurs de chiffrement (CU) peuvent exécuter les commandes suivantes :

• listUsers pour rechercher tous les utilisateurs

• findKey dans key_mgmt_util pour trouver les clés qu'ils peuvent utiliser

• getKeyInfodans key_mgmt_util pour trouver le propriétaire et les utilisateurs partagés d'une clé particulière qu'ils possèdent ou partagent

Avant d'exécuter une commande de CMU, vous devez démarrer l’utilitaire CMU et vous connecter au HSM. Veillez à ce que le type d'utilisateur du compte que vous utilisez pour vous connecter puisse exécuter les commandes que vous prévoyez d'utiliser.

Si vous ajoutez ou supprimez des HSM, mettez à jour les fichiers de configuration de l’utilitaire CMU. Sinon, les modifications que vous apportez peuvent ne pas être effectives sur tous les HSM du cluster.

Type utilisateur

Les utilisateurs suivants peuvent exécuter cette commande.

• Responsables de chiffrement (CO, PCO)

• Utilisateurs de l'appliance (AU)

Syntaxe

Comme cette commande n'a pas de paramètres nommés, vous devez entrer les arguments dans l'ordre spécifié dans le diagramme de syntaxe.

findAllKeys <user id> <key hash (0/1)> [<output file>]

Exemples

Ces exemples illustrent comment utiliser findAllKeys pour rechercher toutes les clés d'un utilisateur et obtenir un hachage des informations utilisateur de la clé sur chaque HSM.

Exemple : Rechercher les clés pour un utilisateur de chiffrement

Cet exemple utilise findAllKeys pour rechercher les clés dans les HSM qui appartiennent et sont partagées par l'utilisateur 4. La commande utilise la valeur 0 pour le deuxième argument afin de supprimer la valeur de hachage. Le nom de fichier optionnel n'étant pas spécifié, la commande écrit sur stdout (sortie standard).

La sortie montre que l'utilisateur 4 peut utiliser 6 clés : 8, 9, 17, 262162, 19 et 31. La sortie utilise un (s) pour indiquer les clés qui sont explicitement partagées par l'utilisateur. Les clés que l'utilisateur possède sont indiquées par un (o) et comprennent des clés symétriques et privées que l'utilisateur ne partage pas, et des clés publiques qui sont disponibles pour tous les utilisateurs du chiffrement.

aws-cloudhsm> findAllKeys 4 0
Keys on server 0(10.0.0.1):
Number of keys found 6
number of keys matched from start index 0::6
8(s),9(s),17,262162(s),19(o),31(o)
findAllKeys success on server 0(10.0.0.1)

Keys on server 1(10.0.0.2):
Number of keys found 6
number of keys matched from start index 0::6
8(s),9(s),17,262162(s),19(o),31(o)
findAllKeys success on server 1(10.0.0.2)

Keys on server 1(10.0.0.3):
Number of keys found 6
number of keys matched from start index 0::6
8(s),9(s),17,262162(s),19(o),31(o)
findAllKeys success on server 1(10.0.0.3)

Exemple  : Vérifier que les données utilisateur sont synchronisées

Cet exemple utilise findAllKeys pour vérifier que tous les HSM du cluster contiennent les mêmes utilisateurs, propriétés de clé et valeurs de partage de clé. Pour ce faire, elle obtient un hachage des données utilisateur de clé sur chaque HSM et compare les valeurs de hachage.

Pour obtenir le hachage de clé, la commande utilise la valeur 1 dans le deuxième argument. Le nom de fichier optionnel n'étant pas spécifié, la commande écrit le hachage de clé dans stdout.

L'exemple spécifie l'utilisateur 6, mais la valeur de hachage sera identique pour n'importe quel utilisateur possédant ou partageant une ou plusieurs clés sur les HSM. Si l'utilisateur spécifié ne possède ou ne partage aucune clé, comme c'est le cas d'un responsable de chiffrement, la commande ne renvoie pas de valeur de hachage.

La sortie indique que le hachage de clé est identique pour tous les HSM du cluster. Si l'un des HSM a des utilisateurs, des propriétaires de clé ou des utilisateurs partagés différents, les valeurs de hachage de clé ne seront pas égales.

aws-cloudhsm> findAllKeys 6 1
Keys on server 0(10.0.0.1):
Number of keys found 3
number of keys matched from start index 0::3
8(s),9(s),11,17(s)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 0(10.0.0.1)
Keys on server 1(10.0.0.2):
Number of keys found 3
number of keys matched from start index 0::3
8(s),9(s),11(o),17(s)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 1(10.0.0.2)

Cette commande montre que la valeur de hachage représente les données utilisateur pour tous les clés sur le HSM. Elle utilise findAllKeys pour l'utilisateur 3. Contrairement à l'utilisateur 6, qui possède ou partage seulement 3 clés, l'utilisateur 3 possède ou partages 17 clés, mais la valeur de hachage de clé est la même.

aws-cloudhsm> findAllKeys 3 1
Keys on server 0(10.0.0.1):
Number of keys found 17
number of keys matched from start index 0::17
6(o),7(o),8(s),11(o),12(o),14(o),262159(o),262160(o),17(s),262162(s),19(s),20(o),21(o),262177(o),262179(o),262180(o),262181(o)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 0(10.0.0.1)
Keys on server 1(10.0.0.2):
Number of keys found 17
number of keys matched from start index 0::17
6(o),7(o),8(s),11(o),12(o),14(o),262159(o),262160(o),17(s),262162(s),19(s),20(o),21(o),262177(o),262179(o),262180(o),262181(o)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 1(10.0.0.2)

Arguments

Comme cette commande n'a pas de paramètres nommés, vous devez entrer les arguments dans l'ordre spécifié dans le diagramme de syntaxe.

findAllKeys <user id> <key hash (0/1)> [<output file>]

<ID utilisateur>

Permet d'obtenir toutes les clés que l'utilisateur spécifié possède ou partage. Saisissez l'ID d'un utilisateur sur les HSM. Pour rechercher l'ID de tous les utilisateurs, utilisez listUsers.

Tous les ID utilisateur sont valides, mais findAllKeys retourne uniquement les clés des utilisateurs de chiffrement (CU).

Obligatoire : oui

<hachage de clé>

Inclut (1) ou exclut (0) un hachage de la propriété utilisateur et des données de partage pour toutes les clés de chaque HSM.

Lorsque l'argument user id représente un utilisateur qui possède ou partage des clés, le hachage de clé est renseigné. La valeur de hachage de clé est identique pour tous les utilisateurs qui possèdent ou partagent des clés sur le HSM, même s'ils possèdent et partagent des clés différentes. Toutefois, lorsque l'argument user id représente un utilisateur qui ne possède ou ne partage pas de clé, comme un responsable de chiffrement, la valeur de hachage n'est pas renseignée.

Obligatoire : oui

<fichier de sortie>

Écrit la sortie sur le fichier spécifié.

Obligatoire : non

Par défaut : Stdout

Rubriques en relation

• changePswd

• deleteUser

• listUsers

• syncUser

• findKey dans key_mgmt_util

• getKeyInfodans key_mgmt_util