findAllKeys - AWS CloudHSM
Tipo utenteSintassiEsempiArgomentiArgomenti correlati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

findAllKeys

Il comando findAllKeys in cloudhsm_mgmt_util consente di ottenere le chiavi che un determinato crypto user (CU) possiede o condivide. Inoltre, restituisce un hash dei dati dell'utente su ciascun modulo HSM. È possibile utilizzare l'hash per determinare immediatamente se gli utenti, la proprietà delle chiavi e i dati sulla condivisione delle chiavi sono gli stessi su tutti i moduli HSM nel cluster. Nell'output, le chiavi di proprietà dell'utente vengono annotate da (o) e le chiavi condivise vengono annotate da (s).

findAllKeys restituisce chiavi pubbliche solo quando il CU specificato possiede la chiave, anche se tutti i CU sull'HSM possono utilizzare qualsiasi chiave pubblica. Questo comportamento è diverso rispetto a findKey in key_mgmt_util, che restituisce chiavi pubbliche per tutti gli utenti CU.

Solo i crypto officer (CO e PCO) e gli utenti dell'appliance (AU) possono eseguire questo comando. I crypto user (CU) possono eseguire i comandi seguenti:

  • listUsers per trovare tutti gli utenti

  • findKey in key_mgmt_util per trovare le chiavi che è possibile utilizzare

  • getKeyInfo in key_mgmt_util per trovare il proprietario e gli utenti in condivisione di una determinata chiave di loro proprietà o condivisa

Prima di eseguire qualsiasi comando SMU è necessario avviare CMU e accedere al modulo HSM. Assicurati di eseguire l'accesso con il tipo di account utente autorizzato a eseguire i comandi che prevedi di utilizzare.

Se aggiungi o elimini moduli HSM, aggiorna i file di configurazione per CMU. In caso contrario, le modifiche apportate potrebbero non essere effettive su tutti i moduli HSM nel cluster.

Tipo utente

Gli utenti seguenti possono eseguire questo comando.

  • Crypto officer (CO, PCO)

  • Utenti dell'appliance (AU)

Sintassi

Poiché questi comandi non dispongono di parametri denominati, è necessario immettere gli argomenti nell'ordine specificato nei diagrammi sintattici.

findAllKeys <user id> <key hash (0/1)> [<output file>]

Esempi

Questi esempi mostrano come utilizzare findAllKeys per trovare tutte le chiavi per un utente e ottenere un hash delle informazioni dell'utente della chiave in ciascun modulo HSM.

Esempio : trovare le chiavi per un CU

Questo esempio utilizza findAllKeys per trovare le chiavi nei moduli HSM che l'utente 4 possiede e condivide. Il comando utilizza il valore 0 per il secondo argomento per eliminare il valore hash. Poiché viene omesso il nome file opzionale, il comando scrive in stdout (output standard).

L'output indica che l'utente 4 può utilizzare 6 chiavi: 8, 9, 17, 262162, 19 e 31. L'output utilizza un (s) per indicare le chiavi che sono esplicitamente condivise dall'utente. Le chiavi che l'utente possiede sono indicate da un (o) e includono chiavi simmetriche e private che l'utente non condivide e chiavi pubbliche disponibili per tutti i crypto user. 

aws-cloudhsm> findAllKeys 4 0
Keys on server 0(10.0.0.1):
Number of keys found 6
number of keys matched from start index 0::6
8(s),9(s),17,262162(s),19(o),31(o)
findAllKeys success on server 0(10.0.0.1)

Keys on server 1(10.0.0.2):
Number of keys found 6
number of keys matched from start index 0::6
8(s),9(s),17,262162(s),19(o),31(o)
findAllKeys success on server 1(10.0.0.2)

Keys on server 1(10.0.0.3):
Number of keys found 6
number of keys matched from start index 0::6
8(s),9(s),17,262162(s),19(o),31(o)
findAllKeys success on server 1(10.0.0.3)
Esempio : Verifica della sincronizzazione dei dati utente

Questo esempio utilizza findAllKeys per verificare che tutti gli HSM nel cluster contengano gli stessi utenti, proprietà delle chiavi e valori di condivisione delle chiavi. Per eseguire questa operazione, ottiene un hash dei dati dell'utente delle chiavi su ciascun HSM e confronta i valori hash.

Per ottenere l'hash delle chiavi, il comando utilizza il valore 1 nel secondo argomento. Il nome del file opzionale viene omesso, pertanto il comando scrive l'hash della chiave in stdout.

L'esempio specifica l'utente 6, ma il valore hash sarà lo stesso per qualsiasi utente che possiede o condivide qualsiasi chiave nei moduli HSM. Se l'utente specificato non possiede o condivide alcuna chiave, come accade per un CO, il comando non restituisce un valore hash.

L'output indica che l'hash della chiave è identico per entrambi i moduli HSM nel cluster. Se uno degli HSM avesse utenti diversi, proprietari delle chiavi diversi o utenti condivisi diversi, i valori hash delle chiavi non sarebbero uguali.

aws-cloudhsm> findAllKeys 6 1
Keys on server 0(10.0.0.1):
Number of keys found 3
number of keys matched from start index 0::3
8(s),9(s),11,17(s)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 0(10.0.0.1)
Keys on server 1(10.0.0.2):
Number of keys found 3
number of keys matched from start index 0::3
8(s),9(s),11(o),17(s)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 1(10.0.0.2)

Questo comando dimostra che il valore hash rappresenta i dati utente per tutte le chiavi nell'HSM. Il comando utilizza findAllKeys per l'utente 3. A differenza dell'utente 6, che possiede o condivide solo 3 chiavi, l'utente 3 possiede o condivide 17 chiavi, ma il valore hash delle chiavi è lo stesso.

aws-cloudhsm> findAllKeys 3 1
Keys on server 0(10.0.0.1):
Number of keys found 17
number of keys matched from start index 0::17
6(o),7(o),8(s),11(o),12(o),14(o),262159(o),262160(o),17(s),262162(s),19(s),20(o),21(o),262177(o),262179(o),262180(o),262181(o)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 0(10.0.0.1)
Keys on server 1(10.0.0.2):
Number of keys found 17
number of keys matched from start index 0::17
6(o),7(o),8(s),11(o),12(o),14(o),262159(o),262160(o),17(s),262162(s),19(s),20(o),21(o),262177(o),262179(o),262180(o),262181(o)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 1(10.0.0.2)

Argomenti

Poiché questi comandi non dispongono di parametri denominati, è necessario immettere gli argomenti nell'ordine specificato nei diagrammi sintattici.

findAllKeys <user id> <key hash (0/1)> [<output file>]
<id utente>

Ottiene tutte le chiavi che l'utente specificato possiede o condivide. Inserisci l'ID utente di un utente dei moduli HSM. Per trovare gli ID utente di tutti gli utenti, utilizza listUsers.

Tutti gli ID utente sono validi, ma findAllKeys restituisce le chiavi solo per i crypto user (CU).

Campo obbligatorio: sì

<hash chiave>

Include (1) o esclude (0) un hash della proprietà dell'utente e dei dati di condivisione per tutte le chiavi in ciascun modulo HSM.

Quando l'argomento user id rappresenta un utente che possiede o condivide le chiavi, l'hash delle chiavi è popolato. Il valore hash delle chiavi è identico per tutti gli utenti che possiedono o condividono chiavi sull'HSM, anche se possiedono e condividono chiavi diverse. Tuttavia, quando user id rappresenta un utente che non possiede o condivide alcuna chiave, ad esempio un CO, il valore hash non è popolato.

Campo obbligatorio: sì

<file output>

Scrive l'output nel file specificato.

Campo obbligatorio: no

Impostazione predefinita: stdout

Argomenti correlati