wrapKey - AWS CloudHSM
SintaksisContohParameterTopik terkait

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

wrapKey

Perintah wrapKey di key_mgmt_util mengekspor salinan kunci simetris atau privat terenkripsi dari HSM ke file. Ketika Anda menjalankan wrapKey, Anda menentukan kunci untuk ekspor, kunci pada HSM untuk mengenkripsi (membungkus) kunci yang ingin Anda ekspor, dan file output.

Perintah wrapKey menuliskan kunci dienkripsi ke file yang Anda tentukan, tetapi tidak menghapus kunci dari HSM atau mencegah Anda dari menggunakannya dalam operasi kriptografi. Anda dapat mengekspor kunci yang sama beberapa kali.

Hanya pemilik kunci, yaitu pengguna kripto (CU) yang membuat kunci, dapat mengekspornya. Pengguna yang berbagi kunci dapat menggunakannya dalam operasi kriptografi, tetapi mereka tidak dapat mengekspornya.

Untuk mengimpor kunci terenkripsi kembali ke HSM, gunakan. unWrapKey Untuk mengekspor kunci plaintext dari HSM, gunakan exSymKeyatau exportPrivateKeysesuai kebutuhan. aesWrapUnwrapPerintah tidak dapat mendekripsi (membuka) kunci yang mengenkripsi. wrapKey

Sebelum Anda menjalankan perintah key_mgmt_util, Anda harus memulai key_mgmt_util dan Masuk ke HSM sebagai pengguna kripto (CU).

Sintaksis

wrapKey -h

wrapKey -k <exported-key-handle>
        -w <wrapping-key-handle>
        -out <output-file>
        [-m <wrapping-mechanism>]
        [-aad <additional authenticated data filename>]
        [-t <hash-type>]
        [-noheader]
        [-i <wrapping IV>]  
        [-iv_file <IV file>]
        [-tag_size <num_tag_bytes>>]

Contoh

Perintah ini mengekspor kunci simetris 192-bit Triple DES (3DES) (kunci handel 7). Perintah menggunakan kunci 256-bit AES di HSM (handel kunci 14) untuk membungkus kunci 7. Kemudian, perintah menulis kunci 3DES terenkripsi ke file 3DES-encrypted.key.

Output menunjukkan bahwa kunci 7 (kunci 3DES) berhasil dibungkus dan ditulis ke file yang ditentukan. Kunci terenkripsi mempunyai panjang 307 byte.

        Command:  wrapKey -k 7 -w 14 -out 3DES-encrypted.key -m 4

        Key Wrapped.

        Wrapped Key written to file "3DES-encrypted.key length 307

        Cfm2WrapKey returned: 0x00 : HSM Return: SUCCESS

Parameter

-h

Menampilkan bantuan untuk perintah.

Wajib: Ya

-k

Handel kunci dari kunci yang ingin Anda ekspor. Masukkan handel kunci dari kunci simetris atau privat yang Anda miliki. Untuk menemukan handel kunci, gunakan perintah findKey.

Untuk memverifikasi bahwa kunci dapat diekspor, gunakan perintah getAttribute untuk mendapatkan nilai atribut OBJ_ATTR_EXTRACTABLE, yang diwakili oleh konstanta 354. Untuk membantu menafsirkan atribut kunci, lihat Referensi Atribut Kunci.

Anda hanya dapat mengekspor kunci yang Anda miliki. Untuk menemukan pemilik kunci, gunakan getKeyInfoperintah.

Wajib: Ya

-w

Menentukan kunci pembungkus. Masukkan handel kunci dari kunci AES atau kunci RSA pada HSM. Parameter ini diperlukan. Untuk menemukan handel kunci, gunakan perintah findKey.

Untuk membuat kunci pembungkus, gunakan genSymKeyuntuk menghasilkan kunci AES (tipe 31) atau GenRSA KeyPair untuk menghasilkan key pair RSA (tipe 0). Jika Anda menggunakan pasangan kunci RSA, pastikan untuk membungkus kunci dengan salah satu kunci, dan buka dengan yang lain. Untuk memverifikasi bahwa kunci dapat digunakan sebagai kunci pembungkus, gunakan getAttribute untuk mendapatkan nilai atribut OBJ_ATTR_WRAP, yang diwakili oleh konstanta 262.

Wajib: Ya

-out

Jalur dan nama file output. Ketika perintah berhasil, file ini berisi kunci yang diekspor dalam plaintext. Jika file sudah ada, perintah akan menimpa tanpa peringatan.

Wajib: Ya

-m

Nilai yang mewakili mekanisme pembungkus. CloudHSM mendukung mekanisme berikut:

Mekanisme Nilai
AES_KEY_WRAP_PAD_PKCS5 4
NIST_AES_WRAP_NO_PAD 5
NIST_AES_WRAP_PAD 6
RSA_AES 7
RSA_OAEP (untuk ukuran data maksimum, lihat catatan di bagian ini nanti) 8
AES_GCM 10
CLOUDHSM_AES_GCM 11
RSA_PKCS(untuk ukuran data maksimum, lihat catatan nanti di bagian ini). Lihat catatan 1 di bawah untuk perubahan yang akan datang. 12

Wajib: Ya

catatan

Saat menggunakan mekanisme RSA_OAEP pembungkus, ukuran kunci maksimum yang dapat Anda bungkus ditentukan oleh modulus kunci RSA dan panjang hash yang ditentukan sebagai berikut: Ukuran kunci maksimum = (modulusLengthInBytes-2* Bytes-2). hashLengthIn

Saat menggunakan mekanisme pembungkus RSA_PKCS, ukuran kunci maksimum yang dapat Anda bungkus ditentukan oleh modulus kunci RSA sebagai berikut: Ukuran kunci maksimum = (Bytes -11). modulusLengthIn

-t

Nilai yang mewakili algoritme hash. CloudHSM mendukung algoritme berikut:

Algoritma hash Nilai
SHA1 2
SHA256 3
SHA384 4
SHA512 5
SHA224 (berlaku untuk mekanisme RSA_AES dan RSA_OAEP) 6

Wajib: Tidak

AAD

Nama file yang berisi AAD.

catatan

Hanya berlaku untuk mekanisme AES_GCM dan CLOUDHSM_AES_GCM.

Wajib: Tidak

-noheader

Menghilangkan header yang menentukan atribut kunci khusus CloudHSM. Gunakan parameter ini hanya jika Anda ingin membuka kunci dengan alat di luar key_mgmt_util.

Wajib: Tidak

-i

Vektor inisialisasi (IV) (nilai hex).

catatan

Hanya berlaku ketika diteruskan dengan -noheader parameter untukCLOUDHSM_AES_KEY_WRAP, dan NIST_AES_WRAP mekanisme.

Wajib: Tidak

-iv_file

File tempat Anda ingin menuliskan nilai IV yang diperoleh sebagai tanggapan.

catatan

Berlaku hanya ketika dilewatkan dengan parameter -noheader untuk mekanisme AES_GCM.

Wajib: Tidak

-tag_size

Ukuran tanda yang akan disimpan bersama dengan blob terbungkus.

catatan

Berlaku hanya ketika dilewatkan dengan parameter -noheader untuk mekanisme AES_GCM danCLOUDHSM_AES_GCM. Ukuran tanda minimum adalah delapan.

Wajib: Tidak

[1] Dilarang setelah 2023 untuk kepatuhan FIPS sesuai panduan NIST. Lihat Kepatuhan FIPS 140: Penutupan Mekanisme 2024 untuk detail.

Topik terkait