Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Eine AWS CloudHSM Datei mit KMU verschlüsseln und entschlüsseln
Verwenden Sie den **aesWrapUnwrap** Befehl in AWS CloudHSM key\$1mgmt\$1util, um den Inhalt einer Datei auf der Festplatte zu verschlüsseln oder zu entschlüsseln. Mit diesem Befehl können Sie Verschlüsselungsschlüssel ein- und auspacken. Sie können ihn für jede Datei verwenden, die weniger als 4 KB (4096 Byte) Daten enthält.
**aesWrapUnwrap**verwendet AES Key Wrap mit PKCS \$15 -Padding. Es verwendet einen AES-Schlüssel im HSM als Ver- und Entpackschlüssel. Dann schreibt er das Ergebnis in eine andere Datei auf dem Datenträger.
Bevor Sie einen key\$1mgmt\$1util-Befehl ausführen, müssen Sie [key\$1mgmt\$1util starten](key_mgmt_util-setup.md#key_mgmt_util-start) und sich am HSM als Crypto-Benutzer (CU) [anmelden](key_mgmt_util-log-in.md).
## Syntax
```
aesWrapUnwrap -h
aesWrapUnwrap -m
-f
-w
[-i ]
[-out ]
```
## Beispiele
Diese Beispiele zeigen, wie man mit **aesWrapUnwrap** einen Verschlüsselungsschlüssel in einer Datei verschlüsselt und entschlüsselt.
**Example : Verschlüsselungsschlüssel verpacken**
Dieser Befehl verwendet **aesWrapUnwrap**, um einen symmetrischen Dreifach-DES-Schlüssel, der [vom HSM im Klartext exportiert wurde](key_mgmt_util-exSymKey.md), in die `3DES.key`-Datei zu packen. Mit einem ähnlichen Befehl können Sie jeden in einer Datei gespeicherten Schlüssel verpacken.
Der Befehl verwendet den `-m`-Parameter mit dem Wert `1`, um den Wrap-Modus festzulegen. Er verwendet den `-w`-Parameter, um einen AES-Schlüssel im HSM (Key-Handle `6`) als Wrapping-Schlüssel anzugeben. Der resultierende verpackte Schlüssel wird in die `3DES.key.wrapped`-Datei geschrieben.
Die Ausgabe zeigt, dass der Befehl erfolgreich war und dass die Operation die Standard-IV verwendet hat, die bevorzugt wird.
```
Command: aesWrapUnwrap -f 3DES.key -w 6 -m 1 -out 3DES.key.wrapped
Warning: IV (-i) is missing.
0xA6A6A6A6A6A6A6A6 is considered as default IV
result data:
49 49 E2 D0 11 C1 97 22
17 43 BD E3 4E F4 12 75
8D C1 34 CF 26 10 3A 8D
6D 0A 7B D5 D3 E8 4D C2
79 09 08 61 94 68 51 B7
result written to file 3DES.key.wrapped
Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS
```
**Example : Verschlüsselungsschlüssel entpacken**
Dieses Beispiel zeigt, wie man **aesWrapUnwrap** verwendet, um einen verpackten (verschlüsselten) Schlüssel in einer Datei zu entpacken (entschlüsseln). Sie können eine solche Operation durchführen, bevor Sie einen Schlüssel in das HSM importieren. Wenn Sie beispielsweise versuchen, den [imSymKey](key_mgmt_util-imSymKey.md)Befehl zum Importieren eines verschlüsselten Schlüssels zu verwenden, wird ein Fehler zurückgegeben, da der verschlüsselte Schlüssel nicht das Format hat, das für einen Klartext-Schlüssel dieses Typs erforderlich ist.
Der Befehl entpackt den Schlüssel in der Datei `3DES.key.wrapped` und schreibt den Klartext in die Datei `3DES.key.unwrapped`. Der Befehl verwendet den `-m`-Parameter mit dem Wert `0`, um den Unwrap-Modus festzulegen. Er verwendet den `-w`-Parameter, um einen AES-Schlüssel im HSM (Key-Handle `6`) als Wrapping-Schlüssel anzugeben. Der resultierende verpackte Schlüssel wird in die `3DES.key.unwrapped`-Datei geschrieben.
```
Command: aesWrapUnwrap -m 0 -f 3DES.key.wrapped -w 6 -out 3DES.key.unwrapped
Warning: IV (-i) is missing.
0xA6A6A6A6A6A6A6A6 is considered as default IV
result data:
14 90 D7 AD D6 E4 F5 FA
A1 95 6F 24 89 79 F3 EE
37 21 E6 54 1F 3B 8D 62
result written to file 3DES.key.unwrapped
Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS
```
## Parameters
**-h**
Zeigt Hilfe für den Befehl an.
Erforderlich: Ja
**-m**
Gibt den Modus an. Um den Dateiinhalt zu verpacken (verschlüsseln), geben Sie `1` ein. Um den Dateiinhalt zu entpacken (entschlüsseln), geben Sie `0` ein.
Erforderlich: Ja
**-f**
Gibt die zu verpackende Datei an. Geben Sie eine Datei ein, die weniger als 4 KB (4096 Byte) Daten enthält. Diese Operation wurde entwickelt, um Verschlüsselungsschlüssel ein- und auszupacken.
Erforderlich: Ja
**-w**
Gibt den Wrapping-Schlüssel an. Geben Sie das Schlüssel-Handle eines AES-Schlüssels auf dem HSM ein. Dieser Parameter muss angegeben werden. Verwenden Sie den [findKey](key_mgmt_util-findKey.md)-Befehl, um Schlüssel-Handles zu finden.
Um einen Wrapping-Schlüssel zu erstellen, verwenden Sie, [genSymKey](key_mgmt_util-genSymKey.md)um einen AES-Schlüssel zu generieren (Typ 31).
Erforderlich: Ja
**-i**
Gibt einen alternativen Initialwert (IV) für den Algorithmus an. Verwenden Sie den Standardwert, es sei denn, es gibt eine spezielle Bedingung, die eine Alternative erfordert.
Standard: `0xA6A6A6A6A6A6A6A6`. Der Standardwert ist in der Spezifikation des [AES Key Wrap](https://tools.ietf.org/html/rfc3394)-Algorithmus definiert.
Erforderlich: Nein
**-out**
Gibt einen alternativen Namen für die Ausgabedatei an, die den verpackten oder entpackten Schlüssel enthält. Die Voreinstellung ist `wrapped_key` (für Wrap-Operationen) und `unwrapped_key` (für Unwrap-Operationen) im lokalen Verzeichnis.
Wenn die Datei vorhanden ist, wird diese ohne Warnung von **aesWrapUnwrap** überschrieben. Wenn der Befehl fehlschlägt, erstellt **aesWrapUnwrap** eine Ausgabedatei ohne Inhalt.
Voreinstellung: Für Verpacken: `wrapped_key`. Zum Entpacken: `unwrapped_key`.
Erforderlich: Nein
## Verwandte Themen
+ [exSymKey](key_mgmt_util-exSymKey.md)
+ [imSymKey](key_mgmt_util-imSymKey.md)
+ [unWrapKey](key_mgmt_util-unwrapKey.md)
+ [wrapKey](key_mgmt_util-wrapKey.md)