Exportation de clés - AWS CloudHSM
Exporter des clés secrètesExporter des clés publiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exportation de clés

Pour exporter des clés secrètes—c’est-à-dire des clés symétriques et clés privées asymétriques—à partir du HSM, vous devez d'abord créer une clé d'encapsulage. Vous pouvez exporter des clés publiques directement sans clé d'encapsulage.

Seul le propriétaire de la clé peut l'exporter. Les utilisateurs avec lesquels la clé est partagée peuvent utiliser la clé dans des opérations de chiffrement, mais ils ne peuvent pas l'exporter. Lorsque vous exécutez cet exemple, veillez à exporter une clé que vous avez créée.

Important

La exSymKeycommande écrit une copie en texte clair (non chiffrée) de la clé secrète dans un fichier. Le processus d'exportation nécessite une clé d'encapsulage, mais la clé figurant dans le fichier n'est pas une clé encapsulée. Pour exporter une copie encapsulée (chiffrée) d'une clé, utilisez la commande wrapKey.

Exporter des clés secrètes

Effectuez les étapes suivantes pour exporter une clé secrète.

Pour exporter une clé secrète

  1. Utilisez la genSymKeycommande pour créer une clé d'encapsulation. La commande suivante crée une clé d'encapsulage AES 128 bits valable uniquement pour la session en cours.

    Command: genSymKey -t 31 -s 16 -sess -l export-wrapping-key
Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS

Symmetric Key Created.  Key Handle: 524304

Cluster Error Status
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS

  2. Utilisez l'une des commandes suivantes, selon le type de clé secrète que vous exportez.

    • Pour exporter une clé symétrique, utilisez la exSymKeycommande. La commande suivante exporte une clé AES vers un fichier nommé aes256.key.exp. Pour consulter toutes les options disponibles, utilisez la commande exSymKey -h.

      Command: exSymKey -k 524295 -out aes256.key.exp -w 524304
Cfm3WrapKey returned: 0x00 : HSM Return: SUCCESS

Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS


Wrapped Symmetric Key written to file "aes256.key.exp"
      Note

      La sortie de la commande indique qu'une « clé symétrique encapsulée » est écrite dans le fichier de sortie. Toutefois, le fichier de sortie contient une clé en texte brut (non encapsulée). Pour exporter une clé encapsulée (chiffrée) dans un fichier, utilisez la commande wrapKey.

    • Pour exporter une clé privée, utilisez la commande exportPrivateKey. La commande suivante exporte une clé privée vers un fichier nommé rsa2048.key.exp. Pour consulter toutes les options disponibles, utilisez la commande exportPrivateKey -h.

      Command: exportPrivateKey -k 524296 -out rsa2048.key.exp -w 524304
Cfm3WrapKey returned: 0x00 : HSM Return: SUCCESS

Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS

PEM formatted private key is written to rsa2048.key.exp

Exporter des clés publiques

Utilisez la commande exportPubKey pour exporter une clé publique. Pour consulter toutes les options disponibles, utilisez la commande exportPubKey -h.

L'exemple suivant exporte une clé publique RSA vers un fichier nommé rsa2048.pub.exp.

Command: exportPubKey -k 524294 -out rsa2048.pub.exp
PEM formatted public key is written to rsa2048.pub.key

Cfm3ExportPubKey returned: 0x00 : HSM Return: SUCCESS