Esportazione di una AWS CloudHSM chiave privata tramite KMU - AWS CloudHSM
SintassiEsempiParametersArgomenti correlati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esportazione di una AWS CloudHSM chiave privata tramite KMU

Utilizzate il exportPrivateKey comando in AWS CloudHSM key_mgmt_util per esportare una chiave privata asimmetrica da un modulo di sicurezza hardware (HSM) a un file. L'HSM non consente l'esportazione diretta di chiavi in chiaro. Il comando esegue il wrapping della chiave privata utilizzando una chiave di wrapping AES specificata dall'utente, decodifica i byte soggetti a wrapping e copia la chiave privata in chiaro in un file.

Tuttavia, il comando exportPrivateKey non rimuove la chiave da HSM, non ne modifica gli attributi della chiave oppure impedisce di utilizzare la chiave in altre operazioni di crittografia. È possibile esportare la stessa chiave più volte.

È possibile esportare solo le chiavi private che hanno il valore dell'attributo OBJ_ATTR_EXTRACTABLE impostato su 1. È necessario specificare una chiave di wrapping AES con un valore di attributo 1 OBJ_ATTR_WRAP e OBJ_ATTR_DECRYPT. Per trovare gli attributi della chiave, utilizza il comando getAttribute.

Prima di eseguire un comando key_mgmt_util, devi avviare key_mgmt_util e accedere a HSM come crypto user (CU).

Sintassi

exportPrivateKey -h

exportPrivateKey -k <private-key-handle>
                 -w <wrapping-key-handle>
                 -out <key-file>
                 [-m <wrapping-mechanism>]
                 [-wk <wrapping-key-file>]

Esempi

Questo esempio illustra come utilizzare exportPrivateKey per esportare una chiave privata da un HSM.

Esempio: Esporta una chiave privata

Questo comando esporta una chiave privata con handle 15 utilizzando una chiave di wrapping con handle 16 per un file PEM chiamato exportKey.pem. Se il comando ha esito positivo, exportPrivateKey restituisce un messaggio di operazione riuscita.

Command: exportPrivateKey -k 15 -w 16 -out exportKey.pem

Cfm3WrapKey returned: 0x00 : HSM Return: SUCCESS

        Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS

PEM formatted private key is written to exportKey.pem

Parameters

Questo comando accetta i parametri seguenti.

-h

Visualizza il testo di aiuto per il comando.

Obbligatorio: sì

-k

Specifica l'handle della chiave privata da esportare.

Obbligatorio: sì

-w

Specifica l'handle di una chiave di wrapping. Questo parametro è obbligatorio. Per trovare le handle della chiave, utilizza il comando findKey.

Per determinare se una chiave può essere utilizzata come chiave di wrapping, utilizzare getAttribute per ottenere il valore dell'attributo OBJ_ATTR_WRAP (262). Per creare una chiave di wrapping, utilizza genSymKey per creare una chiave AES (tipo 31).

Se si utilizza il parametro -wk per specificare una chiave di annullamento del wrapping esterna, la chiave di wrapping -w viene utilizzata per eseguire il wrapping della chiave durante l'esportazione, ma non per annullarlo.

Obbligatorio: sì

-out

Consente di specificare il nome del file in cui verrà scritta la chiave privata esportata.

Obbligatorio: sì

-m

Specifica il meccanismo di wrapping della chiave privata in fase di esportazione. L'unico valore valido è 4, che rappresenta il NIST_AES_WRAP mechanism.

Default: 4 (NIST_AES_WRAP)

Obbligatorio: no

-wk

Specifica la chiave da utilizzare per eseguire l'annullamento del wrapping della chiave esportata. Inserire il percorso e il nome di un file che contiene una chiave AES non crittografata.

Quando includi questo parametro. exportPrivateKey utilizza la chiave nel file -w per eseguire il wrapping della chiave esportata e utilizza la chiave specificata dal parametro -wk per annullarlo.

Impostazione predefinita: Utilizza il codice di wrapping specificato nel parametro -w per eseguire il wrapping e per annullarlo.

Obbligatorio: no

Argomenti correlati