As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Criptografe e descriptografe qualquer arquivo usando o KMU AWS CloudHSM
<a name="key_mgmt_util-aesWrapUnwrap"></a>

Use o **aesWrapUnwrap** comando em AWS CloudHSM key\_mgmt\_util para criptografar ou descriptografar o conteúdo de um arquivo no disco. Este comando foi projetado para encapsular e desencapsular chaves de criptografia, mas você pode usá-lo em qualquer arquivo que contenha menos de 4 KB (4096 bytes) de dados.

O **aesWrapUnwrap** usa o Agrupamento de chaves AES com preenchimento PKCS \#5. Ele usa uma chave AES no HSM como a chave de encapsulamento ou desencapsulamento. Em seguida, ele grava o resultado em outro arquivo no disco. 

Antes de executar um comando key\_mgmt\_util, você deve [iniciar key\_mgmt\_util](key_mgmt_util-setup.md#key_mgmt_util-start) e [fazer login](key_mgmt_util-log-in.md) no HSM como um usuário de criptografia (CU). 

## Sintaxe
<a name="aesWrapUnwrap-syntax"></a>

```
aesWrapUnwrap -h

aesWrapUnwrap -m {{<wrap-unwrap mode>}}
              -f {{<file-to-wrap-unwrap>}} 
              -w {{<wrapping-key-handle>}}               
              [-i {{<wrapping-IV>}}] 
              [-out {{<output-file>}}]
```

## Exemplos
<a name="aesWrapUnwrap-examples"></a>

Esses exemplos mostram como usar **aesWrapUnwrap** para criptografar e descriptografar uma chave de criptografia em um arquivo. 

**Example : encapsular uma chave de criptografia**  
Esse comando usa **aesWrapUnwrap** para encapsular uma chave simétrica Triple DES que foi [exportada do HSM em texto simples](key_mgmt_util-exSymKey.md) para o arquivo `3DES.key`. Você pode usar um comando semelhante para remover qualquer chave salva em um arquivo.   
O comando usa o parâmetro `-m` com um valor de `1` para indicar o modo de enrolamento. Ele usa o parâmetro `-w` para especificar uma chave AES no HSM (identificador de chave `6`) como a chave de encapsulamento. Ele grava a chave encapsulada resultante no arquivo `3DES.key.wrapped`.  
A saída mostra que o comando foi bem-sucedido e que a operação usou o IV padrão, o que é preferido.  

```
 Command:  aesWrapUnwrap -f 3DES.key -w 6 -m 1 -out 3DES.key.wrapped

        Warning: IV (-i) is missing.
                 0xA6A6A6A6A6A6A6A6 is considered as default IV
result data:
49 49 E2 D0 11 C1 97 22
17 43 BD E3 4E F4 12 75
8D C1 34 CF 26 10 3A 8D
6D 0A 7B D5 D3 E8 4D C2
79 09 08 61 94 68 51 B7

result written to file 3DES.key.wrapped

        Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS
```

**Example : desencapsular uma chave de criptografia**  
Este exemplo mostra como usar **aesWrapUnwrap** para desempacotar (desencapsular) uma chave encapsulada (criptografada) em um arquivo. Você pode querer fazer uma operação como essa antes de importar uma chave para o HSM. Por exemplo, se você tentar usar o [imSymKey](key_mgmt_util-imSymKey.md)comando para importar uma chave criptografada, ele retornará um erro porque a chave criptografada não tem o formato necessário para uma chave de texto simples desse tipo.  
O comando desencapsula a chave no arquivo `3DES.key.wrapped` e grava o texto simples no arquivo `3DES.key.unwrapped`. O comando usa o parâmetro `-m` com um valor de `0` para indicar o modo de desencapsulamento. Ele usa o parâmetro `-w` para especificar uma chave AES no HSM (identificador de chave `6`) como a chave de encapsulamento. Ele grava a chave encapsulada resultante no arquivo `3DES.key.unwrapped`.   

```
 Command:  aesWrapUnwrap -m 0 -f 3DES.key.wrapped -w 6 -out 3DES.key.unwrapped

        Warning: IV (-i) is missing.
                 0xA6A6A6A6A6A6A6A6 is considered as default IV
result data:
14 90 D7 AD D6 E4 F5 FA
A1 95 6F 24 89 79 F3 EE
37 21 E6 54 1F 3B 8D 62

result written to file 3DES.key.unwrapped

        Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS
```

## Parâmetros
<a name="aesWrapUnwrap-params"></a>

**-h**  
Exibe a ajuda referente ao comando.   
Obrigatório: Sim

**-m**  
Especifica o modo. Para encapsular (criptografar) o conteúdo do arquivo, digite `1`; para desencapsular (descriptografar) o conteúdo do arquivo, digite `0`.  
Obrigatório: Sim

**-f**  
Especifica o arquivo a ser encapsulado. Insira um arquivo que contenha menos de 4 KB (4096 bytes) de dados. Essa operação foi projetada para encapsular e desencapsular chaves de criptografia.  
Obrigatório: Sim

**-w**  
Especifica a chave de encapsulamento. Insira o identificador de uma chave AES no HSM. Esse parâmetro é obrigatório. Para encontrar os identificadores de chave, use o comando [findKey](key_mgmt_util-findKey.md).  
Para criar uma chave de empacotamento, use [genSymKey](key_mgmt_util-genSymKey.md)para gerar uma chave AES (tipo 31).  
Obrigatório: Sim

**-i**  
Especifica um valor inicial alternativo (IV) para o algoritmo. Use o valor padrão, a menos que você tenha uma condição especial que exija uma alternativa.  
Padrão: `0xA6A6A6A6A6A6A6A6`. O valor padrão é definido na especificação do algoritmo [AES Key Wrap](https://tools.ietf.org/html/rfc3394).  
Obrigatório: não

**-out**  
Especifica um nome alternativo para o arquivo de saída que contém a chave encapsulada ou desencapsulada. O padrão é `wrapped_key` (para operações de encapsulamento) e `unwrapped_key` (para operações de desencapsulamento) no diretório local.  
Se o arquivo existir, o **aesWrapUnwrap** o substituirá sem aviso prévio. Se o comando falhar, **aesWrapUnwrap** criará um arquivo de saída sem conteúdo.  
Padrão: Para encapsulamento: `wrapped_key`. Para desencapsulamento: `unwrapped_key`.  
Obrigatório: não

## Tópicos relacionados
<a name="aesWrapUnwrap-seealso"></a>
+ [exSymKey](key_mgmt_util-exSymKey.md)
+ [imSymKey](key_mgmt_util-imSymKey.md)
+ [unWrapKey](key_mgmt_util-unwrapKey.md)
+ [wrapKey](key_mgmt_util-wrapKey.md)