wrapKey

La commande wrapKey de key_mgmt_util exporte une copie chiffrée d'une clé symétrique ou privée depuis le module HSM vers un fichier. Lorsque vous exécutez wrapKey, vous spécifiez la clé à exporter, une clé sur le module HSM pour chiffrer (encapsuler) la clé à exporter et le fichier de sortie.

La commande wrapKey écrit la clé chiffrée dans un fichier que vous spécifiez, mais elle ne supprime pas la clé du HSM ou ne vous empêche pas de l'utiliser dans des opérations de chiffrement. Vous pouvez exporter la même clé plusieurs fois.

Seul le propriétaire d'une clé, c'est-à-dire l'utilisateur de chiffrement (CU) ayant créé la clé, peut l'exporter. Les utilisateurs qui partagent la clé peut l'utiliser dans des opérations de chiffrement, mais ne peuvent pas l'exporter.

Pour réimporter la clé chiffrée dans le HSM, utilisez unWrapKey. Pour exporter une clé en texte brut depuis un HSM, utilisez exSymKeyou selon exportPrivateKeyle cas. La aesWrapUnwrapcommande ne peut pas déchiffrer (déballer) les clés chiffréeswrapKey.

Avant d'exécuter une commande key_mgmt_util, vous devez démarrer key_mgmt_util et vous connecter au HSM en tant qu'utilisateur de chiffrement (CU).

Syntaxe

wrapKey -h

wrapKey -k <exported-key-handle>
        -w <wrapping-key-handle>
        -out <output-file>
        [-m <wrapping-mechanism>]
        [-aad <additional authenticated data filename>]
        [-t <hash-type>]
        [-noheader]
        [-i <wrapping IV>]  
        [-iv_file <IV file>]
        [-tag_size <num_tag_bytes>>]

    

Exemple

Cette commande permet d'exporter une clé symétrique Triple DES (3DES) 192 bits (handle de clé 7). Elle utilise une clé AES 256 bits dans le module HSM (handle de clé 14) pour encapsuler la clé 7. Ensuite, elle écrit la clé 3DES chiffrée dans le fichier 3DES-encrypted.key.

La sortie indique que la clé 7 (clé 3DES) a été correctement encapsulée et écrite dans le fichier spécifié. La clé chiffrée est longue de 307 octets.

        Command:  wrapKey -k 7 -w 14 -out 3DES-encrypted.key -m 4

        Key Wrapped.

        Wrapped Key written to file "3DES-encrypted.key length 307

        Cfm2WrapKey returned: 0x00 : HSM Return: SUCCESS

Paramètres

-h

Affiche l'aide concernant la commande.

Obligatoire : oui

-k

Poignée de clé de la clé que vous souhaitez exporter. Saisissez le handle de clé d'une clé symétrique ou privée qui vous appartient. Pour trouver des handles de clé, utilisez la commande findKey.

Pour vérifier qu'une clé peut être exportée, utilisez la commande getAttribute pour obtenir la valeur de l'attribut OBJ_ATTR_EXTRACTABLE, représentée par la constante 354. Pour obtenir de l'aide sur l'interprétation des attributs de clé, consultez le Référence des attributs de clé.

De même, vous pouvez exporter uniquement les clés qui vous appartiennent. Pour trouver le propriétaire d'une clé, utilisez la getKeyInfocommande.

Obligatoire : oui

-s, sem

Spécifie la clé d'encapsulage. Entrez le handle d'une clé AES ou RSA sur le HSM. Ce paramètre est obligatoire. Pour trouver des handles de clé, utilisez la commande findKey.

Pour créer une clé d'encapsulation, genSymKeyutilisez-la pour générer une clé AES (type 31) ou genRSA KeyPair pour générer une paire de clés RSA (type 0). Si vous utilisez une paire de clés RSA, veillez à encapsuler la clé avec l'une des clés et à la désencapsuler avec l'autre. Pour déterminer si une clé peut être utilisée comme clé d'encapsulage, utilisez getAttribute pour obtenir la valeur de l'attribut OBJ_ATTR_WRAP, représentée par la constante 262.

Obligatoire : oui

-out

Chemin et nom du fichier de sortie. Lorsque la commande aboutit, ce fichier contient une copie chiffrée de la clé exportée. Si le fichier existe déjà, la commande le remplace sans avertissement.

Obligatoire : oui

-m

Valeur représentant le mécanisme d'encapsulage. CloudHSM prend en charge les mécanismes suivants :

Mécanisme	Valeur
AES_KEY_WRAP_PAD_PKCS5	4
NIST_AES_WRAP_NO_PAD	5
NIST_AES_WRAP_PAD	6
RSA_AES	7
RSA_OAEP (pour connaître la taille maximale des données, consultez la note plus loin dans cette section)	8
AES_GCM	10
CLOUDHSM_AES_GCM	11
RSA_PKCS (pour connaître la taille maximale des données, consultez la note plus loin dans cette section) Voir la note 1 ci-dessous pour un changement à venir.	12

Obligatoire : oui

Note

Lorsque vous utilisez le mécanisme RSA_OAEP d'encapsulage, la taille de clé maximale que vous pouvez encapsuler est déterminée par le module de la clé RSA et la longueur du hachage spécifié comme suit : Taille maximale de la clé = (modulusLengthInoctets-2* octets-2). hashLengthIn

Lorsque vous utilisez le mécanisme d'encapsulage RSA_PKCS, la taille maximale de clé que vous pouvez encapsuler est déterminée par le module de la clé RSA comme suit : Taille maximale de la clé = (octets -11). modulusLengthIn

-t

Valeur représentant l'algorithme de hachage. CloudHSM prend en charge les algorithmes suivants :

Algorithme de hachage	Valeur
SHA1	2
SHA256	3
SHA384	4
SHA512	5
SHA224 (valable pour les mécanismes RSA_AES et RSA_OAEP)	6

Obligatoire : non

-aad

Nom de fichier contenant AAD.

Note

Valide uniquement pour les mécanismes AES_GCM et CLOUDHSM_AES_GCM.

Obligatoire : non

-noheader

Omet l’en-tête qui spécifie les attributs de clés spécifiques à CloudHSM. Utilisez ce paramètre uniquement si vous prévoyez de désencapsuler la clé à l'aide d'outils en dehors de key_mgmt_util.

Obligatoire : non

-i

Vecteur d'initialisation (IV) (valeur hexadécimale).

Note

Valide uniquement lorsqu'il est transmis avec le paramètre -noheader pour les mécanismes CLOUDHSM_AES_KEY_WRAP et NIST_AES_WRAP.

Obligatoire : non

-iv_file

Fichier dans lequel vous voulez écrire la valeur IV obtenue en réponse.

Note

Valide uniquement lorsqu'il est transmis avec le paramètre -noheader pour le mécanisme AES_GCM.

Obligatoire : non

-tag_size

Taille de l'étiquette à enregistrer avec le blob encapsulé.

Note

Valide uniquement lorsqu'il est transmis avec le paramètre -noheader pour les mécanismes AES_GCM et CLOUDHSM_AES_GCM. La taille minimale de la balise est de huit.

Obligatoire : non

[1] Interdit après 2023 pour conformité à la norme FIPS conformément aux directives du NIST. Consultez Conformité à la norme FIPS 140 : mécanisme 2024 rendu obsolète pour plus de détails.

Rubriques en relation

• exSymKey

• imSymKey

• unWrapKey