Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
chiave unwrap aes-gcm
Il key unwrap aes-gcm comando decomprime una chiave di payload nel cluster utilizzando la chiave di wrapping AES e il meccanismo di unwrapping. AES-GCM
Le chiavi non impacchettate possono essere utilizzate nello stesso modo delle chiavi generate da. AWS CloudHSM Per indicare che non sono state generate localmente, il loro local
attributo è impostato su. false
Per utilizzare il key unwrap aes-gcm comando, è necessario disporre della chiave di wrapping AES nel AWS CloudHSM cluster e il relativo unwrap
attributo deve essere impostato su. true
Tipo di utente
I seguenti tipi di utenti possono eseguire questo comando.
-
Utenti di crittografia (CU)
Requisiti
-
Per eseguire questo comando, è necessario aver effettuato l'accesso come CU.
Sintassi
aws-cloudhsm >
help key unwrap aes-gcm
Usage: key unwrap aes-gcm [OPTIONS] --filter [<FILTER>...] --tag-length-bits <TAG_LENGTH_BITS> --key-type-class <KEY_TYPE_CLASS> --label <LABEL> --iv <IV> <--data-path <DATA_PATH>|--data <DATA>> Options: --filter [<FILTER>...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with --data-path <DATA_PATH> Path to the binary file containing the wrapped key data --data <DATA> Base64 encoded wrapped key data --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...] Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key --aad <AAD> Aes GCM Additional Authenticated Data (AAD) value, in hex --tag-length-bits <TAG_LENGTH_BITS> Aes GCM tag length in bits --key-type-class <KEY_TYPE_CLASS> Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private] --label <LABEL> Label for the unwrapped key --session Creates a session key that exists only in the current session. The key cannot be recovered after the session ends --iv <IV> Initial value used to wrap the key, in hex -h, --help Print help
Esempi
Questi esempi mostrano come utilizzare il key unwrap aes-gcm comando utilizzando una chiave AES con il valore dell'unwrap
attributo true
impostato su.
Esempio: scartare una chiave di payload dai dati chiave avvolti codificati in Base64
aws-cloudhsm >
key unwrap aes-gcm --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --tag-length-bits 64 --aad 0x10 --iv 0xf90613bb8e337ec0339aad21 --data xvslgrtg8kHzrvekny97tLSIeokpPwV8
{ "error_code": 0, "data": { "key": { "key-reference": "0x00000000001808e4", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "aes-unwrapped", "id": "0x", "check-value": "0x8d9099", "class": "secret-key", "encrypt": false, "decrypt": false, "token": true, "always-sensitive": false, "derive": false, "destroyable": true, "extractable": true, "local": false, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": false, "verify": true, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 16 } } } }
Esempio: scartare una chiave di payload fornita tramite un percorso dati
aws-cloudhsm >
key unwrap aes-gcm --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --tag-length-bits 64 --aad 0x10 --iv 0xf90613bb8e337ec0339aad21 --data-path payload-key.pem
{ "error_code": 0, "data": { "key": { "key-reference": "0x00000000001808e4", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "aes-unwrapped", "id": "0x", "check-value": "0x8d9099", "class": "secret-key", "encrypt": false, "decrypt": false, "token": true, "always-sensitive": false, "derive": false, "destroyable": true, "extractable": true, "local": false, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": false, "verify": true, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 16 } } } }
Argomenti
<FILTER>
-
Riferimento chiave (ad esempio,
key-reference=0xabc
) o elenco separato da spazi di attributi chiave sotto forma di selezioneattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
di una chiave con cui scartare.Campo obbligatorio: sì
<DATA_PATH>
-
Percorso del file binario contenente i dati chiave racchiusi.
Obbligatorio: Sì (a meno che non sia fornito tramite dati codificati Base64)
<DATA>
-
Dati chiave avvolti codificati in Base64.
Obbligatorio: Sì (a meno che non sia fornito tramite il percorso dati)
<ATTRIBUTES>
-
Elenco separato da spazi degli attributi chiave sotto forma
KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
di chiave racchiusa.Campo obbligatorio: no
<AAD>
-
Come valore AAD (Additional Authenticated Data) di GCM, in esadecimale.
Campo obbligatorio: no
<TAG_LENGTH_BITS>
-
Come lunghezza del tag GCM in bit.
Campo obbligatorio: sì
<KEY_TYPE_CLASS>
-
Tipo di chiave e classe di chiave racchiusa [valori possibili:
aes
,,des3
,ec-private
generic-secret
,rsa-private
].Campo obbligatorio: sì
<ETICHETTA>
-
Etichetta per la chiave aperta.
Campo obbligatorio: sì
<SESSIONE>
-
Crea una chiave di sessione che esiste solo nella sessione corrente. La chiave non può essere recuperata dopo la fine della sessione.
Campo obbligatorio: no
<IV>
-
Valore iniziale usato per avvolgere la chiave, in esadecimale.
Campo obbligatorio: no