Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Chiffrer et déchiffrer n'importe quel AWS CloudHSM fichier à l'aide de KMU
<a name="key_mgmt_util-aesWrapUnwrap"></a>

Utilisez la **aesWrapUnwrap** commande dans AWS CloudHSM key\_mgmt\_util pour chiffrer ou déchiffrer le contenu d'un fichier sur le disque. Cette commande est conçue pour encapsuler ou désencapsuler les clés de chiffrement, mais vous pouvez l'utiliser sur n'importe quel fichier qui contient moins de 4 Ko (4 096 octets) de données.

**aesWrapUnwrap**utilise un support de clé AES avec rembourrage PKCS \#5. Il utilise une clé AES sur le HSM en tant que clé d'encapsulage ou de désencapsulage. Ensuite, il écrit le résultat dans un autre fichier sur le disque. 

Avant d'exécuter une commande key\_mgmt\_util, vous devez [démarrer key\_mgmt\_util](key_mgmt_util-setup.md#key_mgmt_util-start) et vous [connecter](key_mgmt_util-log-in.md) au HSM en tant qu'utilisateur de chiffrement (CU). 

## Syntaxe
<a name="aesWrapUnwrap-syntax"></a>

```
aesWrapUnwrap -h

aesWrapUnwrap -m {{<wrap-unwrap mode>}}
              -f {{<file-to-wrap-unwrap>}} 
              -w {{<wrapping-key-handle>}}               
              [-i {{<wrapping-IV>}}] 
              [-out {{<output-file>}}]
```

## Exemples
<a name="aesWrapUnwrap-examples"></a>

Ces exemples illustrent comment utiliser **aesWrapUnwrap** pour chiffrer et déchiffrer une clé de chiffrement dans un fichier. 

**Example : Encapsuler une clé de chiffrement**  
Cette commande utilise **aesWrapUnwrap** pour encapsuler une clé symétrique Triple DES qui a été [exportée à partir du HSM en texte brut](key_mgmt_util-exSymKey.md) dans le fichier `3DES.key`. Vous pouvez utiliser une commande similaire pour encapsuler n'importe quelle clé enregistrée dans un fichier.   
La commande utilise le paramètre `-m` avec la valeur `1` pour indiquer le mode d'encapsulage. Elle utilise le paramètre `-w` pour spécifier une clé AES dans le HSM (handle de clé `6`) comme clé d'encapsulage. Elle écrit la clé encapsulée obtenue dans le fichier `3DES.key.wrapped`.  
La sortie indique que la commande a réussi et que l'opération a utilisé la valeur initiale par défaut, qui est préférable.  

```
 Command:  aesWrapUnwrap -f 3DES.key -w 6 -m 1 -out 3DES.key.wrapped

        Warning: IV (-i) is missing.
                 0xA6A6A6A6A6A6A6A6 is considered as default IV
result data:
49 49 E2 D0 11 C1 97 22
17 43 BD E3 4E F4 12 75
8D C1 34 CF 26 10 3A 8D
6D 0A 7B D5 D3 E8 4D C2
79 09 08 61 94 68 51 B7

result written to file 3DES.key.wrapped

        Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS
```

**Example : Désencapsuler une clé de chiffrement**  
Cet exemple montre comment utiliser **aesWrapUnwrap** pour désencapsuler (déchiffrer) une clé encapsulée (chiffrée) dans un fichier. Vous pouvez effectuer une opération comme celle-ci avant d'importer une clé sur le HSM. Par exemple, si vous essayez d'utiliser la [imSymKey](key_mgmt_util-imSymKey.md)commande pour importer une clé chiffrée, elle renvoie une erreur car la clé chiffrée n'a pas le format requis pour une clé en texte brut de ce type.  
La commande désencapsule la clé dans le fichier `3DES.key.wrapped` et écrit le texte brut dans le fichier `3DES.key.unwrapped`. La commande utilise le paramètre `-m` avec la valeur `0` pour indiquer le mode de désencapsulage. Elle utilise le paramètre `-w` pour spécifier une clé AES dans le HSM (handle de clé `6`) comme clé d'encapsulage. Elle écrit la clé encapsulée obtenue dans le fichier `3DES.key.unwrapped`.   

```
 Command:  aesWrapUnwrap -m 0 -f 3DES.key.wrapped -w 6 -out 3DES.key.unwrapped

        Warning: IV (-i) is missing.
                 0xA6A6A6A6A6A6A6A6 is considered as default IV
result data:
14 90 D7 AD D6 E4 F5 FA
A1 95 6F 24 89 79 F3 EE
37 21 E6 54 1F 3B 8D 62

result written to file 3DES.key.unwrapped

        Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS
```

## Parameters
<a name="aesWrapUnwrap-params"></a>

**-h**  
Affiche l'aide concernant la commande.   
Obligatoire : oui

**-m**  
Spécifie le mode. Pour encapsuler (chiffrer) le contenu du fichier, tapez `1` ; pour désencapsuler (déchiffrer) le contenu du fichier, tapez `0`.  
Obligatoire : oui

**-f**  
Spécifie le fichier à encapsuler. Entrez un fichier contenant moins de 4 Ko (4 096 octets) de données. Cette opération est conçue pour encapsuler et désencapsuler les clés de chiffrement.  
Obligatoire : oui

**-s, sem**  
Spécifie la clé d'encapsulage. Entrez le handle d'une clé AES sur le HSM. Ce paramètre est obligatoire. Pour trouver des handles de clé, utilisez la commande [findKey](key_mgmt_util-findKey.md).  
Pour créer une clé d'encapsulation, [genSymKey](key_mgmt_util-genSymKey.md)utilisez-la pour générer une clé AES (type 31).  
Obligatoire : oui

**-i**  
Spécifie une autre valeur initiale (IV) pour l'algorithme. Utilisez la valeur par défaut, sauf si des conditions particulières nécessitent une alternative.  
Valeur par défaut : `0xA6A6A6A6A6A6A6A6`. La valeur par défaut est définie dans les spécifications de l'algorithme [AES Key Wrap](https://tools.ietf.org/html/rfc3394).  
Obligatoire : non

**-out**  
Spécifie un autre nom pour le fichier de sortie qui contient la clé encapsulée ou désencapsulée. La valeur par défaut est `wrapped_key` (pour les opérations d'encapsulage) et `unwrapped_key` (pour les opérations de désencapsulage) dans le répertoire local.  
Si le fichier existe, la commande **aesWrapUnwrap** le remplace sans avertissement. Si la commande échoue, **aesWrapUnwrap** crée un fichier de sortie sans contenu.  
Par défaut : pour l'encapsulage : `wrapped_key`. Pour le désencapsulage : `unwrapped_key`.  
Obligatoire : non

## Rubriques en relation
<a name="aesWrapUnwrap-seealso"></a>
+ [exSymKey](key_mgmt_util-exSymKey.md)
+ [imSymKey](key_mgmt_util-imSymKey.md)
+ [unWrapKey](key_mgmt_util-unwrapKey.md)
+ [wrapKey](key_mgmt_util-wrapKey.md)