envoltório de chaves rsa-oaep

O key wrap rsa-oaep comando agrupa uma chave de carga usando uma chave pública RSA no HSM e o mecanismo de agrupamento. RSA-OAEP O extractable atributo da chave de carga útil deve ser definido como. true

Somente o proprietário de uma chave, ou seja, o usuário criptográfico (UC) que criou a chave, pode encapsular a chave. Os usuários que compartilham a chave podem usá-la em operações criptográficas.

Para usar o key wrap rsa-oaep comando, primeiro você deve ter uma chave RSA em seu AWS CloudHSM cluster. Você pode gerar um par de chaves RSA usando o chave generate-asymmetric-pair comando e o wrap atributo definido como. true

Tipo de usuário

Os seguintes tipos de usuários podem executar este comando.

• Usuários de criptografia (CUs)

Requisitos

• Para executar esse comando, você deve estar registrado como um CU.

Sintaxe

aws-cloudhsm > help key wrap rsa-oaep
Usage: key wrap rsa-oaep [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --hash-function <HASH_FUNCTION>
          Hash algorithm [possible values: sha1, sha224, sha256, sha384, sha512]
      --mgf <MGF>
          Mask Generation Function algorithm [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
  -h, --help
          Print help

Exemplo

Este exemplo mostra como usar o key wrap rsa-oaep comando usando uma chave pública RSA com o valor do wrap atributo true definido como.

aws-cloudhsm > key wrap rsa-oaep --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example --hash-function sha256 --mgf mgf1-sha256
{
  "error_code": 0,
  "data": {
    "payload-key-reference": "0x00000000001c08f1",
    "wrapping-key-reference": "0x00000000007008da",
    "wrapped-key-data": "OjJe4msobPLz9TuSAdULEu17T5rMDWtSlLyBSkLbaZnYzzpdrhsbGLbwZJCtB/jGkDNdB4qyTAOQwEpggGf6v+Yx6JcesNeKKNU8XZal/YBoHC8noTGUSDI2qr+u2tDc84NPv6d+F2KOONXsSxMhmxzzNG/gzTVIJhOuy/B1yHjGP4mOXoDZf5+7f5M1CjxBmz4Vva/wrWHGCSG0yOaWblEvOiHAIt3UBdyKmU+/My4xjfJv7WGGu3DFUUIZ06TihRtKQhUYU1M9u6NPf9riJJfHsk6QCuSZ9yWThDT9as6i7e3htnyDhIhGWaoK8JU855cN/YNKAUqkNpC4FPL3iw=="
  }
}

Argumentos

<CLUSTER_ID>

O ID do cluster no qual executar essa operação.

Obrigatório: se vários clusters tiverem sido configurados.

<PAYLOAD_FILTER>

Referência de chave (por exemplo,key-reference=0xabc) ou lista separada por espaço de atributos de chave na forma de attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE selecionar uma chave de carga útil.

Obrigatório: Sim

<PATH>

Caminho para o arquivo binário em que os dados da chave encapsulada serão salvos.

Obrigatório: não

<WRAPPING_FILTER>

Referência de chave (por exemplo,key-reference=0xabc) ou lista separada por espaço de atributos de chave na forma de attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE selecionar uma chave de empacotamento.

Obrigatório: Sim

<MGF>

Especifica a função de geração da máscara.

nota

A função hash da função de geração de máscara deve corresponder à função hash do mecanismo de assinatura.

Valores válidos

• mgf1-sha1

• mgf1-sha224

• mgf1-sha256

• mgf1-sha384

• mgf1-sha512

Obrigatório: Sim

Tópicos relacionados

• envoltório de chaves

• chave: desembrulhar