As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
chave unwrap rsa-pkcs
O key unwrap rsa-pkcs comando desempacota uma chave de carga usando a chave privada RSA e o mecanismo de desempacotamento. RSA-PKCS
As chaves desembrulhadas podem ser usadas da mesma forma que as chaves geradas pelo AWS CloudHSM. Para indicar que eles não foram gerados localmente, seu local atributo é definido comofalse.
Para usar o unwrap rsa-pkcs comando key, você deve ter a chave privada RSA da chave de empacotamento pública RSA em seu AWS CloudHSM cluster e seu unwrap atributo deve estar definido como. true
Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
-
Usuários de criptografia (CUs)
Requisitos
-
Para executar esse comando, você deve estar registrado como um CU.
Sintaxe
aws-cloudhsm >help key unwrap rsa-pkcsUsage: key unwrap rsa-pkcs [OPTIONS] --filter [<FILTER>...] --key-type-class<KEY_TYPE_CLASS>--label<LABEL><--data-path<DATA_PATH>|--data<DATA>> Options: --cluster-id<CLUSTER_ID>Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --filter [<FILTER>...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with --data-path<DATA_PATH>Path to the binary file containing the wrapped key data --data<DATA>Base64 encoded wrapped key data --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...] Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key --key-type-class<KEY_TYPE_CLASS>Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private] --label<LABEL>Label for the unwrapped key --session Creates a session key that exists only in the current session. The key cannot be recovered after the session ends -h, --help Print help
Exemplos
Esses exemplos mostram como usar o key unwrap rsa-oaep comando usando uma chave AES com o valor do unwrap atributo definido comotrue.
exemplo Exemplo: Desempacotar uma chave de carga útil dos dados da chave encapsulada codificados em Base64
aws-cloudhsm >key unwrap rsa-pkcs --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-key-example --data am0Nc7+YE8FWs+5HvU7sIBcXVb24QA0l65nbNAD+1bK+e18BpSfnaI3P+r8Dp+pLu1ofoUy/vtzRjZoCiDofcz4EqCFnGl4GdcJ1/3W/5WRvMatCa2d7cx02swaeZcjKsermPXYRO1lGlfq6NskwMeeTkV8R7Rx9artFrs1y0DdIgIKVaiFHwnBIUMnlQrR2zRmMkfwU1jxMYmOYyD031F5VbnjSrhfMwkww2la7uf/c3XdFJ2+0Bo94c6og/yfPcpOOobJlITCoXhtMRepSdO4OggYq/6nUDuHCtJ86pPGnNahyr7+sAaSI3a5ECQLUjwaIARUCyoRh7EFK3qPXcg=={ "error_code": 0, "data": { "key": { "key-reference": "0x00000000001c08ef", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "aes-unwrapped", "id": "0x", "check-value": "0x8d9099", "class": "secret-key", "encrypt": false, "decrypt": false, "token": true, "always-sensitive": false, "derive": false, "destroyable": true, "extractable": true, "local": false, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": false, "verify": true, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 16 } } } }
exemplo Exemplo: Desembrulhe uma chave de carga fornecida por meio de um caminho de dados
aws-cloudhsm >key unwrap rsa-pkcs --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-key-example --data-path payload-key.pem{ "error_code": 0, "data": { "key": { "key-reference": "0x00000000001c08ef", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "aes-unwrapped", "id": "0x", "check-value": "0x8d9099", "class": "secret-key", "encrypt": false, "decrypt": false, "token": true, "always-sensitive": false, "derive": false, "destroyable": true, "extractable": true, "local": false, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": false, "verify": true, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 16 } } } }
Argumentos
<CLUSTER_ID>-
O ID do cluster no qual executar essa operação.
Obrigatório: se vários clusters tiverem sido configurados.
<FILTER>-
Referência de chave (por exemplo,
key-reference=0xabc) ou lista separada por espaços de atributos de chave na forma de selecionar uma chave comattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUEa qual desempacotar.Obrigatório: Sim
<DATA_PATH>-
Caminho para o arquivo binário contendo os dados da chave encapsulada.
Obrigatório: Sim (a menos que seja fornecido por meio de dados codificados em Base64)
<DATA>-
Dados-chave agrupados codificados em Base64.
Obrigatório: Sim (a menos que seja fornecido por meio do caminho de dados)
<ATTRIBUTES>-
Lista separada por espaço de atributos de chave na forma de
KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUEpara a chave encapsulada.Obrigatório: não
<KEY_TYPE_CLASS>-
Tipo de chave e classe da chave encapsulada [valores possíveis:
aesdes3,ec-private,,generic-secret,rsa-private].Obrigatório: Sim
<LABEL>-
Etiqueta para a chave desembrulhada.
Obrigatório: Sim
<SESSION>-
Cria uma chave de sessão que existe somente na sessão atual. A chave não pode ser recuperada após o término da sessão.
Obrigatório: não
Tópicos relacionados
