Sintaxe Exemplos Parâmetros Tópicos relacionados da

aesWrapUnwrap

O comando aesWrapUnwrap criptografa ou descriptografa o conteúdo de um arquivo no disco. Este comando foi projetado para encapsular e desencapsular chaves de criptografia, mas você pode usá-lo em qualquer arquivo que contenha menos de 4 KB (4096 bytes) de dados.

aesWrapUnwrap usa AES Key Wrap. Ele usa uma chave AES no HSM como a chave de encapsulamento ou desencapsulamento. Em seguida, ele grava o resultado em outro arquivo no disco.

Antes de executar um comando key_mgmt_util, você deve iniciar key_mgmt_util e fazer login no HSM como um usuário de criptografia (CU).

Sintaxe


aesWrapUnwrap -h

aesWrapUnwrap -m <wrap-unwrap mode>
              -f <file-to-wrap-unwrap> 
              -w <wrapping-key-handle>               
              [-i <wrapping-IV>] 
              [-out <output-file>]

Exemplos

Esses exemplos mostram como usar aesWrapUnwrap para criptografar e descriptografar uma chave de criptografia em um arquivo.

exemplo : encapsular uma chave de criptografia

Esse comando usa aesWrapUnwrap para encapsular uma chave simétrica Triple DES que foi exportada do HSM em texto simples para o arquivo 3DES.key. Você pode usar um comando semelhante para remover qualquer chave salva em um arquivo.

O comando usa o parâmetro -m com um valor de 1 para indicar o modo de enrolamento. Ele usa o parâmetro -w para especificar uma chave AES no HSM (identificador de chave 6) como a chave de encapsulamento. Ele grava a chave encapsulada resultante no arquivo 3DES.key.wrapped.

A saída mostra que o comando foi bem-sucedido e que a operação usou o IV padrão, o que é preferido.


 Command:  aesWrapUnwrap -f 3DES.key -w 6 -m 1 -out 3DES.key.wrapped

        Warning: IV (-i) is missing.
                 0xA6A6A6A6A6A6A6A6 is considered as default IV
result data:
49 49 E2 D0 11 C1 97 22
17 43 BD E3 4E F4 12 75
8D C1 34 CF 26 10 3A 8D
6D 0A 7B D5 D3 E8 4D C2
79 09 08 61 94 68 51 B7

result written to file 3DES.key.wrapped

        Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS

exemplo : desencapsular uma chave de criptografia

Este exemplo mostra como usar aesWrapUnwrap para desempacotar (desencapsular) uma chave encapsulada (criptografada) em um arquivo. Você pode querer fazer uma operação como essa antes de importar uma chave para o HSM. Por exemplo, se você tentar usar o imSymKeycomando para importar uma chave criptografada, ele retornará um erro porque a chave criptografada não tem o formato necessário para uma chave de texto simples desse tipo.

O comando desencapsula a chave no arquivo 3DES.key.wrapped e grava o texto simples no arquivo 3DES.key.unwrapped. O comando usa o parâmetro -m com um valor de 0 para indicar o modo de desencapsulamento. Ele usa o parâmetro -w para especificar uma chave AES no HSM (identificador de chave 6) como a chave de encapsulamento. Ele grava a chave encapsulada resultante no arquivo 3DES.key.unwrapped.


 Command:  aesWrapUnwrap -m 0 -f 3DES.key.wrapped -w 6 -out 3DES.key.unwrapped

        Warning: IV (-i) is missing.
                 0xA6A6A6A6A6A6A6A6 is considered as default IV
result data:
14 90 D7 AD D6 E4 F5 FA
A1 95 6F 24 89 79 F3 EE
37 21 E6 54 1F 3B 8D 62

result written to file 3DES.key.unwrapped

        Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS

Parâmetros

-h

Exibe a ajuda referente ao comando.

Obrigatório: Sim

-m

Especifica o modo. Para encapsular (criptografar) o conteúdo do arquivo, digite 1; para desencapsular (descriptografar) o conteúdo do arquivo, digite 0.

Obrigatório: Sim

-f

Especifica o arquivo a ser encapsulado. Insira um arquivo que contenha menos de 4 KB (4096 bytes) de dados. Essa operação foi projetada para encapsular e desencapsular chaves de criptografia.

Obrigatório: Sim

-w

Especifica a chave de empacotamento. Insira o identificador de uma chave AES no HSM. Esse parâmetro é obrigatório. Para encontrar os identificadores de chave, use o comando findKey.

Para criar uma chave de empacotamento, use genSymKeypara gerar uma chave AES (tipo 31).

Obrigatório: Sim

-i

Especifica um valor inicial alternativo (IV) para o algoritmo. Use o valor padrão, a menos que você tenha uma condição especial que exija uma alternativa.

Padrão: 0xA6A6A6A6A6A6A6A6. O valor padrão é definido na especificação do algoritmo AES Key Wrap.

Obrigatório: não

-out

Especifica um nome alternativo para o arquivo de saída que contém a chave encapsulada ou desencapsulada. O padrão é wrapped_key (para operações de encapsulamento) e unwrapped_key (para operações de desencapsulamento) no diretório local.

Se o arquivo existir, o aesWrapUnwrap o substituirá sem aviso prévio. Se o comando falhar, aesWrapUnwrap criará um arquivo de saída sem conteúdo.

Padrão: Para encapsulamento: wrapped_key. Para desencapsulamento: unwrapped_key.

Obrigatório: não

Tópicos relacionados da

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Referência

deleteKey