setAttribute

Perintah setAttribute di cloudhsm_mgmt_util mengubah nilai label, mengenkripsi, mendekripsi, membungkus, dan membuka atribut kunci di HSM. Anda juga dapat menggunakan setAttribute di key_mgmt_util untuk mengubah kunci sesi ke kunci persisten. Anda hanya dapat mengubah atribut kunci yang Anda miliki.

Sebelum Anda menjalankan perintah CMU, Anda harus memulai CMU dan masuk ke HSM. Pastikan Anda masuk dengan tipe pengguna yang dapat menjalankan perintah yang ingin Anda gunakan.

Jika Anda menambahkan atau menghapus HSM, perbarui file konfigurasi untuk CMU. Jika tidak, perubahan yang Anda buat mungkin tidak efektif untuk semua HSM di klaster.

Jenis pengguna

Pengguna berikut dapat menjalankan perintah berikut.

• Pengguna kripto (CU)

Sintaks

Karena perintah ini tidak memiliki parameter bernama, Anda harus memasukkan argumen dalam urutan yang ditentukan dalam diagram sintaks.

setAttribute <key handle> <attribute id>

Contoh

Contoh ini menunjukkan bagaimana cara menonaktifkan fungsionalitas dekripsi dari kunci simetris. Anda dapat menggunakan perintah seperti ini untuk mengatur konfigurasi kunci pembungkus, yang harus dapat membungkus dan membuka kunci lain, tetapi tidak mengenkripsi atau mendekripsi data.

Langkah pertama adalah membuat kunci pembungkus. Perintah ini menggunakan genSymKeykey_mgmt_util untuk menghasilkan kunci simetris AES 256-bit. Output menunjukkan bahwa kunci baru memiliki handel kunci 14.

$  genSymKey -t 31 -s 32 -l aes256

Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS

        Symmetric Key Created.  Key Handle: 14

        Cluster Error Status
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

Selanjutnya, kita ingin mengonfirmasi nilai saat ini dari atribut dekripsi. Untuk mendapatkan ID atribut dari atribut dekripsi, gunakan listAttributes. Output menunjukkan bahwa konstanta yang mewakili atribut OBJ_ATTR_DECRYPT adalah 261. Untuk membantu menafsirkan atribut kunci, lihat Referensi Atribut Kunci.

aws-cloudhsm> listAttributes

Following are the possible attribute values for getAttribute:

      OBJ_ATTR_CLASS                  = 0
      OBJ_ATTR_TOKEN                  = 1
      OBJ_ATTR_PRIVATE                = 2
      OBJ_ATTR_LABEL                  = 3
      OBJ_ATTR_TRUSTED                = 134
      OBJ_ATTR_KEY_TYPE               = 256
      OBJ_ATTR_ID                     = 258
      OBJ_ATTR_SENSITIVE              = 259
      OBJ_ATTR_ENCRYPT                = 260
      OBJ_ATTR_DECRYPT                = 261
      OBJ_ATTR_WRAP                   = 262
      OBJ_ATTR_UNWRAP                 = 263
      OBJ_ATTR_SIGN                   = 264
      OBJ_ATTR_VERIFY                 = 266
      OBJ_ATTR_DERIVE                 = 268
      OBJ_ATTR_LOCAL                  = 355
      OBJ_ATTR_MODULUS                = 288
      OBJ_ATTR_MODULUS_BITS           = 289
      OBJ_ATTR_PUBLIC_EXPONENT        = 290
      OBJ_ATTR_VALUE_LEN              = 353
      OBJ_ATTR_EXTRACTABLE            = 354
      OBJ_ATTR_NEVER_EXTRACTABLE      = 356
      OBJ_ATTR_ALWAYS_SENSITIVE       = 357
      OBJ_ATTR_DESTROYABLE            = 370
      OBJ_ATTR_KCV                    = 371
      OBJ_ATTR_WRAP_WITH_TRUSTED      = 528
      OBJ_ATTR_WRAP_TEMPLATE          = 1073742353
      OBJ_ATTR_UNWRAP_TEMPLATE        = 1073742354
      OBJ_ATTR_ALL                    = 512

Untuk mendapatkan nilai saat ini dari atribut dekripsi untuk kunci 14, perintah berikutnya menggunakan getAttribute di cloudhsm_mgmt_util.

Output menunjukkan bahwa nilai atribut dekripsi adalah benar (1) pada kedua HSM di klaster.

aws-cloudhsm> getAttribute 14 261
      
Attribute Value on server 0(10.0.0.1):
OBJ_ATTR_DECRYPT
0x00000001

Attribute Value on server 1(10.0.0.2):
OBJ_ATTR_DECRYPT
0x00000001

Perintah ini menggunakan setAttribute untuk mengubah nilai atribut dekripsi (atribut 261) dari kunci 14 menjadi 0. Ini menonaktifkan fungsionalitas dekripsi pada kunci.

Output menunjukkan bahwa perintah berhasil pada kedua HSM di klaster.

aws-cloudhsm> setAttribute 14 261 0
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)? y
setAttribute success on server 0(10.0.0.1)
setAttribute success on server 1(10.0.0.2)

Perintah terakhir mengulangi perintah getAttribute. Sekali lagi, perintah ini mendapatkan atribut dekripsi (atribut 261) dari kunci 14.

Kali ini, output menunjukkan bahwa nilai atribut dekripsi adalah salah (0) pada kedua HSM di klaster.

aws-cloudhsm>getAttribute 14 261
Attribute Value on server 0(10.0.3.6):
OBJ_ATTR_DECRYPT
0x00000000

Attribute Value on server 1(10.0.1.7):
OBJ_ATTR_DECRYPT
0x00000000

Pendapat

setAttribute <key handle> <attribute id>

<key-handle>

Menentukan handel kunci dari kunci yang Anda miliki. Anda hanya dapat menentukan satu kunci di setiap perintah. Untuk mendapatkan handel kunci dari suatu kunci, gunakan findKey di key_mgmt_util. Untuk menemukan pengguna kunci, gunakan getKeyInfo.

Wajib: Ya

<attribute id>

Menentukan konstanta yang mewakili atribut yang ingin Anda ubah. Anda hanya dapat menentukan satu atribut di setiap perintah. Untuk mendapatkan atribut dan nilai integernya, gunakan listAttributes. Untuk membantu menafsirkan atribut kunci, lihat Referensi Atribut Kunci.

Nilai yang valid:

• 3 – OBJ_ATTR_LABEL.

• 134 – OBJ_ATTR_TRUSTED.

• 260 – OBJ_ATTR_ENCRYPT.

• 261 – OBJ_ATTR_DECRYPT.

• 262 – OBJ_ATTR_WRAP.

• 263 – OBJ_ATTR_UNWRAP.

• 264 – OBJ_ATTR_SIGN.

• 266 – OBJ_ATTR_VERIFY.

• 268 – OBJ_ATTR_DERIVE.

• 370 – OBJ_ATTR_DESTROYABLE.

• 528 – OBJ_ATTR_WRAP_WITH_TRUSTED.

• 1073742353 – OBJ_ATTR_WRAP_TEMPLATE.

• 1073742354 – OBJ_ATTR_UNWRAP_TEMPLATE.

Wajib: Ya

Topik terkait

• setAttribute di key_mgmt_util

• getAttribute

• ListatTributes

• Referensi Atribut Utama