Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
chiave unwrap rsa-aes
Il key unwrap rsa-aes comando decomprime una chiave di payload utilizzando una chiave privata RSA e il meccanismo di decompressione. RSA-AES
Le chiavi aperte possono essere utilizzate nello stesso modo delle chiavi generate da. AWS CloudHSM Per indicare che non sono state generate localmente, il loro local
attributo è impostato su. false
Per utilizzare ilkey unwrap rsa-aes, è necessario disporre della chiave privata RSA della chiave di wrapping pubblica RSA nel AWS CloudHSM cluster e il relativo unwrap
attributo deve essere impostato su. true
Tipo di utente
I seguenti tipi di utenti possono eseguire questo comando.
-
Utenti di crittografia (CU)
Requisiti
-
Per eseguire questo comando, è necessario aver effettuato l'accesso come CU.
Sintassi
aws-cloudhsm >
help key unwrap rsa-aes
Usage: key unwrap rsa-aes [OPTIONS] --filter [<FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF> --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>> Options: --filter [<FILTER>...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with --data-path <DATA_PATH> Path to the binary file containing the wrapped key data --data <DATA> Base64 encoded wrapped key data --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...] Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key --hash-function <HASH_FUNCTION> Hash algorithm [possible values: sha1, sha224, sha256, sha384, sha512] --mgf <MGF> Mask Generation Function algorithm [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512] --key-type-class <KEY_TYPE_CLASS> Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private] --label <LABEL> Label for the unwrapped key --session Creates a session key that exists only in the current session. The key cannot be recovered after the session ends -h, --help Print help
Esempio
Questi esempi mostrano come utilizzare il key unwrap rsa-aes comando utilizzando la chiave privata RSA con il unwrap
valore dell'attributo impostato su. true
Esempio: scartare una chiave di payload dai dati chiave avvolti codificati in Base64
aws-cloudhsm >
key unwrap rsa-aes --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-key-example --hash-function sha256 --mgf mgf1-sha256 --data HrSE1DEyLjIeyGdPa9R+ebiqB5TIJGyamPker31ZebPwRA+NcerbAJO8DJ1lXPygZcI21vIFSZJuWMEiWpe1R9D/5WSYgxLVKex30xCFqebtEzxbKuv4DOmU4meSofqREYvtb3EoIKwjyxCMRQFgoyUCuP4y0f0eSv0k6rSJh4NuCsHptXZbtgNeRcR4botN7LlzkEIUcq4fVHaatCwd0J1QGKHKyRhkol+RL5WGXKe4nAboAkC5GO7veI5yHL1SaKlssSJtTL/CFpbSLsAFuYbv/NUCWwMY5mwyVTCSlw+HlgKK+5TH1MzBaSi8fpfyepLT8sHy2Q/VRl6ifb49p6m0KQFbRVvz/OWUd6l4d97BdgtaEz6ueg==
{ "error_code": 0, "data": { "key": { "key-reference": "0x00000000001808e2", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "aes-unwrapped", "id": "0x", "check-value": "0x8d9099", "class": "secret-key", "encrypt": false, "decrypt": false, "token": true, "always-sensitive": false, "derive": false, "destroyable": true, "extractable": true, "local": false, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": false, "verify": true, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 16 } } } }
Esempio: scartare una chiave di payload fornita tramite un percorso dati
aws-cloudhsm >
key unwrap rsa-aes --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-key-example --hash-function sha256 --mgf mgf1-sha256 --data-path payload-key.pem
{ "error_code": 0, "data": { "key": { "key-reference": "0x00000000001808e2", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "aes-unwrapped", "id": "0x", "check-value": "0x8d9099", "class": "secret-key", "encrypt": false, "decrypt": false, "token": true, "always-sensitive": false, "derive": false, "destroyable": true, "extractable": true, "local": false, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": false, "verify": true, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 16 } } } }
Argomenti
<FILTER>
-
Riferimento chiave (ad esempio,
key-reference=0xabc
) o elenco separato da spazi di attributi chiave sotto forma di selezioneattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
di una chiave con cui scartare.Campo obbligatorio: sì
<DATA_PATH>
-
Percorso del file binario contenente i dati chiave racchiusi.
Obbligatorio: Sì (a meno che non sia fornito tramite dati codificati Base64)
<DATA>
-
Dati chiave avvolti codificati in Base64.
Obbligatorio: Sì (a meno che non sia fornito tramite il percorso dati)
<ATTRIBUTES>
-
Elenco separato da spazi degli attributi chiave sotto forma
KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
di chiave racchiusa.Campo obbligatorio: no
<KEY_TYPE_CLASS>
-
Tipo di chiave e classe di chiave racchiusa [valori possibili:
aes
,,des3
,ec-private
generic-secret
,rsa-private
].Campo obbligatorio: sì
<HASH_FUNCTION>
-
Specifica la funzione hash.
Valori validi:
sha1
sha224
sha256
sha384
sha512
Campo obbligatorio: sì
<MGF>
-
Specifica la funzione di generazione della maschera.
Nota
La funzione hash della funzione di generazione della maschera deve corrispondere alla funzione hash del meccanismo di firma.
Valori validi:
mgf1-sha1
mgf1-sha224
mgf1-sha256
mgf1-sha384
mgf1-sha512
Campo obbligatorio: sì
<ETICHETTA>
-
Etichetta per la chiave aperta.
Campo obbligatorio: sì
<SESSIONE>
-
Crea una chiave di sessione che esiste solo nella sessione corrente. La chiave non può essere recuperata dopo la fine della sessione.
Campo obbligatorio: no