키 언랩 aes-pkcs5-패드 - AWS CloudHSM
사용자 유형요구 사항구문예제인수관련 주제

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

키 언랩 aes-pkcs5-패드

key unwrap aes-pkcs5-pad 명령은 AES 래핑 키와 언래핑 메커니즘을 사용하여 페이로드 키를 언래핑합니다. AES-PKCS5-PAD

래핑되지 않은 키는 에서 생성한 키와 동일한 방식으로 사용할 수 있습니다. AWS CloudHSM로컬에서 생성되지 않았음을 나타내기 위해 false 해당 local 속성은 로 설정됩니다.

key unwrap aes-pkcs5-pad명령을 사용하려면 AWS CloudHSM 클러스터에 AES 래핑 키가 있어야 하고 해당 unwrap 속성을 로 설정해야 합니다true.

사용자 유형

다음 사용자 유형이 이 명령을 실행할 수 있습니다.

  • CU(Crypto User)

요구 사항

  • 이 명령을 실행하려면 CU로 로그인해야 합니다.

구문

aws-cloudhsm > help key unwrap aes-pkcs5-pad
Usage: key unwrap aes-pkcs5-pad [OPTIONS] --filter [<FILTER>...] --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
  -h, --help
          Print help

예제

이 예제는 unwrap 속성 값이 로 설정된 AES 키를 사용하여 key unwrap aes-pkcs5-pad 명령을 사용하는 방법을 보여줍니다true.

예: Base64로 인코딩된 래핑된 키 데이터에서 페이로드 키 래핑 해제
aws-cloudhsm > key unwrap aes-pkcs5-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data MbuYNresfOKyGNnxKWen88nSfX+uUE/0qmGofSisicY=
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08e3",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
예: 데이터 경로를 통해 제공된 페이로드 키의 래핑 해제
aws-cloudhsm > key unwrap aes-pkcs5-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08e3",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}

인수

<CLUSTER_ID>

이 작업을 실행할 클러스터의 ID입니다.

필수: 여러 클러스터가 구성된 경우.

<FILTER>

래핑을 해제할 키를 선택하는 형식의 키 참조 (예:key-reference=0xabc) 또는 공백으로 구분된 키 속성 목록. attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE

필수 여부: 예

<DATA_PATH>

래핑된 키 데이터를 포함하는 바이너리 파일의 경로입니다.

필수: 예 (Base64로 인코딩된 데이터를 통해 제공되지 않는 경우)

<DATA>

Base64로 인코딩된 래핑된 키 데이터.

필수: 예 (데이터 경로를 통해 제공하지 않는 한)

<ATTRIBUTES>

래핑된 키 형식의 KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE 공백으로 구분된 키 속성 목록입니다.

필수 여부: 아니요

<KEY_TYPE_CLASS>

래핑된 키의 키 유형 및 클래스 [가능한 값: aesdes3,ec-private,generic-secret,rsa-private].

필수 여부: 예

<LABEL>

래핑되지 않은 키의 레이블.

필수 여부: 예

<SESSION>

현재 세션에만 있는 세션 키를 만듭니다. 세션이 종료된 후에는 키를 복구할 수 없습니다.

필수 여부: 아니요

관련 주제