Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
wrapKey
Perintah wrapKey di key_mgmt_util mengekspor salinan kunci simetris atau privat terenkripsi dari HSM ke file. Ketika Anda menjalankan wrapKey, Anda menentukan kunci untuk ekspor, kunci pada HSM untuk mengenkripsi (membungkus) kunci yang ingin Anda ekspor, dan file output.
Perintah wrapKey
menuliskan kunci dienkripsi ke file yang Anda tentukan, tetapi tidak menghapus kunci dari HSM atau mencegah Anda dari menggunakannya dalam operasi kriptografi. Anda dapat mengekspor kunci yang sama beberapa kali.
Hanya pemilik kunci, yaitu pengguna kripto (CU) yang membuat kunci, dapat mengekspornya. Pengguna yang berbagi kunci dapat menggunakannya dalam operasi kriptografi, tetapi mereka tidak dapat mengekspornya.
Untuk mengimpor kunci terenkripsi kembali ke HSM, gunakan. unWrapKey Untuk mengekspor kunci plaintext dari HSM, gunakan exSymKeyatau exportPrivateKeysesuai kebutuhan. aesWrapUnwrapPerintah tidak dapat mendekripsi (membuka) kunci yang mengenkripsi. wrapKey
Sebelum Anda menjalankan perintah key_mgmt_util, Anda harus memulai key_mgmt_util dan Masuk ke HSM sebagai pengguna kripto (CU).
Sintaksis
wrapKey -h wrapKey -k
<exported-key-handle>
-w<wrapping-key-handle>
-out<output-file>
[-m<wrapping-mechanism>
] [-aad<additional authenticated data filename>
] [-t<hash-type>
] [-noheader] [-i<wrapping IV>
] [-iv_file<IV file>
] [-tag_size<num_tag_bytes>>
]
Contoh
Perintah ini mengekspor kunci simetris 192-bit Triple DES (3DES) (kunci handel 7
). Perintah menggunakan kunci 256-bit AES di HSM (handel kunci 14
) untuk membungkus kunci 7
. Kemudian, perintah menulis kunci 3DES terenkripsi ke file 3DES-encrypted.key
.
Output menunjukkan bahwa kunci 7
(kunci 3DES) berhasil dibungkus dan ditulis ke file yang ditentukan. Kunci terenkripsi mempunyai panjang 307 byte.
Command:
wrapKey -k 7 -w 14 -out 3DES-encrypted.key -m 4
Key Wrapped. Wrapped Key written to file "3DES-encrypted.key length 307 Cfm2WrapKey returned: 0x00 : HSM Return: SUCCESS
Parameter
- -h
-
Menampilkan bantuan untuk perintah.
Wajib: Ya
- -k
-
Handel kunci dari kunci yang ingin Anda ekspor. Masukkan handel kunci dari kunci simetris atau privat yang Anda miliki. Untuk menemukan handel kunci, gunakan perintah findKey.
Untuk memverifikasi bahwa kunci dapat diekspor, gunakan perintah getAttribute untuk mendapatkan nilai atribut
OBJ_ATTR_EXTRACTABLE
, yang diwakili oleh konstanta354
. Untuk membantu menafsirkan atribut kunci, lihat Referensi Atribut Kunci.Anda hanya dapat mengekspor kunci yang Anda miliki. Untuk menemukan pemilik kunci, gunakan getKeyInfoperintah.
Wajib: Ya
- -w
-
Menentukan kunci pembungkus. Masukkan handel kunci dari kunci AES atau kunci RSA pada HSM. Parameter ini diperlukan. Untuk menemukan handel kunci, gunakan perintah findKey.
Untuk membuat kunci pembungkus, gunakan genSymKeyuntuk menghasilkan kunci AES (tipe 31) atau GenRSA KeyPair untuk menghasilkan key pair RSA (tipe 0). Jika Anda menggunakan pasangan kunci RSA, pastikan untuk membungkus kunci dengan salah satu kunci, dan buka dengan yang lain. Untuk memverifikasi bahwa kunci dapat digunakan sebagai kunci pembungkus, gunakan getAttribute untuk mendapatkan nilai atribut
OBJ_ATTR_WRAP
, yang diwakili oleh konstanta262
.Wajib: Ya
- -out
-
Jalur dan nama file output. Ketika perintah berhasil, file ini berisi kunci yang diekspor dalam plaintext. Jika file sudah ada, perintah akan menimpa tanpa peringatan.
Wajib: Ya
- -m
-
Nilai yang mewakili mekanisme pembungkus. CloudHSM mendukung mekanisme berikut:
Mekanisme Nilai AES_KEY_WRAP_PAD_PKCS5
4 NIST_AES_WRAP_NO_PAD
5 NIST_AES_WRAP_PAD
6 RSA_AES
7 RSA_OAEP
(untuk ukuran data maksimum, lihat catatan di bagian ini nanti)8 AES_GCM
10 CLOUDHSM_AES_GCM
11 RSA_PKCS
(untuk ukuran data maksimum, lihat catatan nanti di bagian ini). Lihat catatan 1 di bawah untuk perubahan yang akan datang.12 Wajib: Ya
catatan
Saat menggunakan mekanisme
RSA_OAEP
pembungkus, ukuran kunci maksimum yang dapat Anda bungkus ditentukan oleh modulus kunci RSA dan panjang hash yang ditentukan sebagai berikut: Ukuran kunci maksimum = (modulusLengthInBytes-2* Bytes-2). hashLengthInSaat menggunakan mekanisme pembungkus RSA_PKCS, ukuran kunci maksimum yang dapat Anda bungkus ditentukan oleh modulus kunci RSA sebagai berikut: Ukuran kunci maksimum = (Bytes -11). modulusLengthIn
- -t
-
Nilai yang mewakili algoritme hash. CloudHSM mendukung algoritme berikut:
Algoritma hash Nilai SHA1
2 SHA256
3 SHA384
4 SHA512
5 SHA224
(berlaku untuk mekanismeRSA_AES
danRSA_OAEP
)6 Wajib: Tidak
- AAD
Nama file yang berisi
AAD
.catatan
Hanya berlaku untuk mekanisme
AES_GCM
danCLOUDHSM_AES_GCM
.Wajib: Tidak
- -noheader
-
Menghilangkan header yang menentukan atribut kunci khusus CloudHSM. Gunakan parameter ini hanya jika Anda ingin membuka kunci dengan alat di luar key_mgmt_util.
Wajib: Tidak
- -i
Vektor inisialisasi (IV) (nilai hex).
catatan
Hanya berlaku ketika diteruskan dengan
-noheader
parameter untukCLOUDHSM_AES_KEY_WRAP
, danNIST_AES_WRAP
mekanisme.Wajib: Tidak
- -iv_file
File tempat Anda ingin menuliskan nilai IV yang diperoleh sebagai tanggapan.
catatan
Berlaku hanya ketika dilewatkan dengan parameter
-noheader
untuk mekanismeAES_GCM
.Wajib: Tidak
- -tag_size
Ukuran tanda yang akan disimpan bersama dengan blob terbungkus.
catatan
Berlaku hanya ketika dilewatkan dengan parameter
-noheader
untuk mekanismeAES_GCM
danCLOUDHSM_AES_GCM
. Ukuran tanda minimum adalah delapan.Wajib: Tidak
[1] Sesuai dengan panduan NIST, ini tidak diizinkan untuk cluster dalam mode FIPS setelah 2023. Untuk cluster dalam mode non-FIPS, masih diperbolehkan setelah 2023. Lihat FIPS140 Kepatuhan: Penutupan Mekanisme 2024 untuk detail.