EsportaChiavePrivata

Il comando exportPrivateKey in key_mgmt_util esporta una chiave privata asimmetrica in un HSM su un file. L'HSM non consente l'esportazione diretta di chiavi in chiaro. Il comando esegue il wrapping della chiave privata utilizzando una chiave di wrapping AES specificata dall'utente, decodifica i byte soggetti a wrapping e copia la chiave privata in chiaro in un file.

Tuttavia, il comando exportPrivateKey non rimuove la chiave da HSM, non ne modifica gli attributi della chiave oppure impedisce di utilizzare la chiave in altre operazioni di crittografia. È possibile esportare la stessa chiave più volte.

È possibile esportare solo le chiavi private che hanno il valore dell'attributo OBJ_ATTR_EXTRACTABLE impostato su 1. È necessario specificare una chiave di wrapping AES che abbia OBJ_ATTR_WRAP e un valore attributi OBJ_ATTR_DECRYPT di 1 Per trovare gli attributi della chiave, utilizza il comando getAttribute.

Prima di eseguire un comando key_mgmt_util, devi avviare key_mgmt_util e accedere a HSM come crypto user (CU).

Sintassi

exportPrivateKey -h

exportPrivateKey -k <private-key-handle
                 -w <wrapping-key-handle>
                 -out <key-file>
                 [-m <wrapping-mechanism>]
                 [-wk <wrapping-key-file>]
        

Esempi

Questo esempio illustra come utilizzare exportPrivateKey per esportare una chiave privata da un HSM.

Esempio : Esporta una chiave privata

Questo comando esporta una chiave privata con handle 15 utilizzando una chiave di wrapping con handle 16 per un file PEM chiamato exportKey.pem. Se il comando ha esito positivo, exportPrivateKey restituisce un messaggio di operazione riuscita.

Command: exportPrivateKey -k 15 -w 16 -out exportKey.pem

Cfm3WrapKey returned: 0x00 : HSM Return: SUCCESS

        Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS

PEM formatted private key is written to exportKey.pem

Parametri

Questo comando accetta i parametri seguenti.

-h

Visualizza il testo di aiuto per il comando.

Campo obbligatorio: sì

-k

Specifica l'handle della chiave privata da esportare.

Campo obbligatorio: sì

-w

Specifica l'handle di una chiave di wrapping. Questo parametro è obbligatorio. Per trovare le handle della chiave, utilizza il comando findKey.

Per determinare se una chiave può essere utilizzata come chiave di wrapping, utilizzare getAttribute per ottenere il valore dell'attributo OBJ_ATTR_WRAP (262). Per creare una chiave di wrapping, utilizza genSymKey per creare una chiave AES (tipo 31).

Se si utilizza il parametro -wk per specificare una chiave di annullamento del wrapping esterna, la chiave di wrapping -w viene utilizzata per eseguire il wrapping della chiave durante l'esportazione, ma non per annullarlo.

Campo obbligatorio: sì

-out

Consente di specificare il nome del file in cui verrà scritta la chiave privata esportata.

Campo obbligatorio: sì

-m

Specifica il meccanismo di wrapping della chiave privata in fase di esportazione. L'unico valore valido è 4, che rappresenta il NIST_AES_WRAP mechanism.

Default: 4 (NIST_AES_WRAP)

Campo obbligatorio: no

-wk

Specifica la chiave da utilizzare per eseguire l'annullamento del wrapping della chiave esportata. Inserire il percorso e il nome di un file che contiene una chiave AES non crittografata.

Quando includi questo parametro. exportPrivateKey utilizza la chiave nel file -w per eseguire il wrapping della chiave esportata e utilizza la chiave specificata dal parametro -wk per annullarlo.

Impostazione predefinita: Utilizza il codice di wrapping specificato nel parametro -w per eseguire il wrapping e per annullarlo.

Campo obbligatorio: no

Argomenti correlati

• ImportaChiavePrivata

• wrapChiave

• AnnullaWrapChiave

• GeneraChiaveSimmetrica