Utilisation de la CLI CloudHSM pour générer des clés - AWS CloudHSM
Générer des clés symétriquesGénérer des clés asymétriquesRubriques en relation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de la CLI CloudHSM pour générer des clés

Avant de générer une clé, vous devez démarrer la CLI CloudHSM et vous connecter en tant qu'utilisateur de chiffrement (CU). Pour générer des clés sur le HSM, utilisez la commande qui correspond au type de clé que vous souhaitez générer.

Générer des clés symétriques

Utilisez les commandes répertoriées dans Clé generate-symmetric pour générer des clés symétriques. Pour consulter toutes les options disponibles, utilisez la commande help key generate-symmetric.

Générer une clé AES

Utilisez la commande key generate-symmetric aes pour générer des clés AES. Pour consulter toutes les options disponibles, utilisez la commande help key generate-symmetric aes.

L'exemple suivant génère une clé AES de 32 octets.

aws-cloudhsm > key generate-symmetric aes \
    --label aes-example \
    --key-length-bytes 32

Arguments

<LABEL>

Spécifie l'étiquette définie par l'utilisateur pour la clé AES.

Obligatoire : oui

<KEY-LENGTH-BYTES>

Spécifie la taille de la clé en octets.

Valeurs valides :

  • 16, 24 et 32

Obligatoire : oui

<KEY_ATTRIBUTES>

Spécifie une liste séparée par des espaces d'attributs de clés à définir pour la clé AES générée sous la forme KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (par exemple, token=true)

Pour obtenir la liste des attributs AWS CloudHSM clés pris en charge, consultezAttributs de clé de la CLI CloudHSM.

Obligatoire : non

<SESSION>

Crée une clé qui existe uniquement dans la session en cours. La clé ne peut pas être récupérée une fois la session terminée. Utilisez ce paramètre lorsque vous n'avez besoin que brièvement d'une clé, par exemple une clé d'encapsulage qui chiffre, puis déchiffre rapidement, une autre clé. N'utilisez pas de clé de session pour chiffrer les données que vous pourriez avoir besoin de déchiffrer après la fin de la session.

Pour remplacer une clé de session par une clé persistante (jeton), utilisez key set-attribute.

Par défaut, lorsque des clés sont générées, il s'agit de clés persistantes/de jeton. L’utilisation de <SESSION> modifie cela, pour garantir qu'une clé générée avec cet argument est une session/éphémère

Obligatoire : non

Générer une clé secrète générique

Utilisez la commande key generate-symmetric generic-secret pour générer des clés secrètes génériques. Pour consulter toutes les options disponibles, utilisez la commande help key generate-symmetric generic-secret.

L'exemple suivant génère une clé secrète générique de 32 octets.

aws-cloudhsm > key generate-symmetric generic-secret \
    --label generic-secret-example \
    --key-length-bytes 32
Arguments
<LABEL>

Spécifie une étiquette définie par l'utilisateur pour la clé secrète générique.

Obligatoire : oui

<KEY-LENGTH-BYTES>

Spécifie la taille de la clé en octets.

Valeurs valides :

  • 1 à 800

Obligatoire : oui

<KEY_ATTRIBUTES>

Spécifie une liste séparée par des espaces d'attributs de clés à définir pour la clé secrète générique générée sous la forme KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (par exemple, token=true)

Pour obtenir la liste des attributs AWS CloudHSM clés pris en charge, consultezAttributs de clé de la CLI CloudHSM.

Obligatoire : non

<SESSION>

Crée une clé qui existe uniquement dans la session en cours. La clé ne peut pas être récupérée une fois la session terminée. Utilisez ce paramètre lorsque vous n'avez besoin que brièvement d'une clé, par exemple une clé d'encapsulage qui chiffre, puis déchiffre rapidement, une autre clé. N'utilisez pas de clé de session pour chiffrer les données que vous pourriez avoir besoin de déchiffrer après la fin de la session.

Pour remplacer une clé de session par une clé persistante (jeton), utilisez key set-attribute.

Par défaut, lorsque des clés sont générées, il s'agit de clés persistantes/de jeton. L’utilisation de <SESSION> modifie cela, pour garantir qu'une clé générée avec cet argument est une session/éphémère

Obligatoire : non

Générer des clés asymétriques

Utilisez les commandes répertoriées dans clé generate-asymmetric-pair pour générer des paires de clés asymétriques.

Générer une clé RSA

Utilisez la commande key generate-asymmetric-pair rsa pour générer une paire de clés RSA. Pour consulter toutes les options disponibles, utilisez la commande help key generate-asymmetric-pair rsa.

L'exemple suivant génère une paire de clés RSA 2048 bits.

aws-cloudhsm > key generate-asymmetric-pair rsa \
    --public-exponent 65537 \
    --modulus-size-bits 2048 \
    --public-label rsa-public-example \
    --private-label rsa-private-example

Arguments

<PUBLIC_LABEL>

Spécifie une étiquette définie par l'utilisateur pour la clé publique.

Obligatoire : oui

<PRIVATE_LABEL>

Spécifie l'étiquette définie par l'utilisateur pour la clé privée.

Obligatoire : oui

<MODULUS_SIZE_BITS>

Indique la longueur du module en bits. La valeur minimale est de 2048.

Obligatoire : oui

<PUBLIC_EXPONENT>

Spécifie l' exposant public. La valeur doit être un entier impair supérieur ou égal à 65 537.

Obligatoire : oui

<PUBLIC_KEY_ATTRIBUTES>

Spécifie une liste séparée par des espaces d'attributs de clés à définir pour la clé publique RSA générée sous la forme KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (par exemple, token=true).

Pour obtenir la liste des attributs AWS CloudHSM clés pris en charge, consultezAttributs de clé de la CLI CloudHSM.

Obligatoire : non

<SESSION>

Crée une clé qui existe uniquement dans la session en cours. La clé ne peut pas être récupérée une fois la session terminée. Utilisez ce paramètre lorsque vous n'avez besoin que brièvement d'une clé, par exemple une clé d'encapsulage qui chiffre, puis déchiffre rapidement, une autre clé. N'utilisez pas de clé de session pour chiffrer les données que vous pourriez avoir besoin de déchiffrer après la fin de la session.

Pour remplacer une clé de session par une clé persistante (jeton), utilisez key set-attribute.

Par défaut, lorsque des clés sont générées, il s'agit de clés persistantes/de jeton. L’utilisation de <SESSION> modifie cela, pour garantir qu'une clé générée avec cet argument est une session/éphémère

Obligatoire : non

Générez des paires de clés EC (Elliptic Curve Cryptography)

Utilisez la commande key generate-asymmetric-pair ec pour générer une paire de clés EC. Pour voir toutes les options disponibles, notamment une liste des courbes elliptiques prises en charge, utilisez la commande help key generate-asymmetric-pair ec.

L'exemple suivant génère une paire de clés EC à l'aide de la courbe elliptique Secp384r1.

aws-cloudhsm > key generate-asymmetric-pair ec \
    --curve secp384r1 \
    --public-label ec-public-example \
    --private-label ec-private-example
Arguments
<PUBLIC_LABEL>

Spécifie une étiquette définie par l'utilisateur pour la clé publique. La taille maximale autorisée label est de 127 caractères pour le SDK client 5.11 et versions ultérieures. Le SDK client 5.10 et les versions antérieures sont limités à 126 caractères.

Obligatoire : oui

<PRIVATE_LABEL>

Spécifie l'étiquette définie par l'utilisateur pour la clé privée. La taille maximale autorisée label est de 127 caractères pour le SDK client 5.11 et versions ultérieures. Le SDK client 5.10 et les versions antérieures sont limités à 126 caractères.

Obligatoire : oui

<CURVE>

Spécifie l'identifiant de la courbe elliptique.

Valeurs valides :

  • prime256v1

  • secp256r1

  • secp224r1

  • secp384r1

  • secp256k1

  • secp521r1

Obligatoire : oui

<PUBLIC_KEY_ATTRIBUTES>

Spécifie une liste séparée par des espaces d'attributs de clés à définir pour la clé publique EC générée sous la forme KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (par exemple, token=true).

Pour obtenir la liste des attributs AWS CloudHSM clés pris en charge, consultezAttributs de clé de la CLI CloudHSM.

Obligatoire : non

<PRIVATE_KEY_ATTRIBUTES>

Spécifie une liste séparée par des espaces d'attributs de clés à définir pour la clé privée EC générée sous la forme KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (par exemple, token=true).

Pour obtenir la liste des attributs AWS CloudHSM clés pris en charge, consultezAttributs de clé de la CLI CloudHSM.

Obligatoire : non

<SESSION>

Crée une clé qui existe uniquement dans la session en cours. La clé ne peut pas être récupérée une fois la session terminée. Utilisez ce paramètre lorsque vous n'avez besoin que brièvement d'une clé, par exemple une clé d'encapsulage qui chiffre, puis déchiffre rapidement, une autre clé. N'utilisez pas de clé de session pour chiffrer les données que vous pourriez avoir besoin de déchiffrer après la fin de la session.

Pour remplacer une clé de session par une clé persistante (jeton), utilisez key set-attribute.

Par défaut, les clés générées sont des clés persistantes (jetons). La transmission vers <SESSION> change cela, garantissant qu'une clé générée avec cet argument est une clé de session (éphémère).

Obligatoire : non

Rubriques en relation