このトピックでは、unWrapKeyコマンドを使用して暗号化キーをHSMにインポートする方法について説明します。
機能の説明
unWrapKeyコマンドは、wrapKeyコマンドによってエクスポートされた暗号化鍵を利用して、暗号化された対称鍵または秘密鍵をファイルからHSMにインポートすることを可能にする。
unWrapKeyとwrapKeyを使用して、キーのバックアップと移行タスクを実行できます。
このコマンドを実行する前に、key_mgmt_toolを起動し、CUとしてHSMにログインしてください。
構文
次の構文に従ってパラメーターを入力します。 パラメーターの詳細については、「パラメーター」をご参照ください。
unWrapKey -f <key-file-name>
-w <wrapping-key-handle>
[-sess]
[-min_srv <minimum-number-of-HSMs>]
[-timeout <number-of-seconds>]
[-tag_size <tag size>]
[-iv_file <IV file>]
[-attest]
[-m <wrapping-mechanism>]
[-t <hash-type>]
[-nex]
[-noheader]
[-l <key-label>]
[-id <key-id>]
[-kt <key-type>]
[-kc <key-class]
[-i <unwrapping-IV>]パラメーターは、構文で指定された順序で入力する必要があります。
例
AES暗号化キーファイルのインポート例を次に示します。 キーはハンドル6のAESキーを使用して復号化され、出力はインポートされたキーのハンドルが22であることを示します。
Command: unWrapKey -f aes-encrypted.key -w 6 -m 4
Cfm2UnWrapKey5 returned: 0x00 : HSM Return: SUCCESS
Key Unwrapped. Key Handle: 22
Cluster Status:
Node id 0 status: 0x00000000 : HSM Return: SUCCESSParameters
パラメーター名 | 説明 | 必須 / 任意 | 有効値 |
-f | 暗号化キーファイルのパスと名前を定义します。 | 対象 | 特別な要件なし |
-w | 復号化キーのハンドルを指定します。 | 対象 | 特別な要件なし |
-m | 復号化メカニズムを示します。 | 対象 |
|
tag_size | ブロックサイズを指定します。 説明 AES_GCMおよびCLOUDHSM_AES_GCM復号化メカニズムにのみ適用できます。 | 非対象 | 特別な要件なし |
iv_file | AES初期化ベクトルの長さを定義します。 説明 AES_GCM復号化メカニズムにのみ適用されます。 | 非対象 | 特別な要件なし |
-sess | キーを現在のセッションキーとして指定します。 | 非対象 | 特別な要件なし |
-証明 | ファームウェアレスポンスの整合性チェックを行います。 | 非対象 | 特別な要件なし |
-min_srv |
| 非対象 | 特別な要件なし |
-タイムアウト |
| 非対象 | 特別な要件なし |
-t | ハッシュアルゴリズム値を指定します。 |
| |
-nex | キーを非エクスポート可能としてマークします。 | 非対象 | 特別な要件なし |
-noheader | 特定のキープロパティのヘッダーを省略します。 | 非対象 | 特別な要件なし |
-l | インポートしたキーにラベルを割り当てます。 説明 -noheaderパラメーターと共に使用した場合にのみ適用されます。 | 非対象 | 特別な要件なし |
-id | インポートしたキーのIDを指定します。 説明 -noheaderパラメーターと共に使用した場合にのみ適用されます。 | 特別な要件なし | |
-kc | インポートしたキーのカテゴリを定義します。 説明 -noheaderパラメーターと共に使用した場合にのみ適用されます。 | 非対象 |
|
-kt | インポートされたキーのタイプを示します。 説明 -noheaderパラメーターと共に使用した場合にのみ適用されます。 | 非対象 |
|
-i | インポートしたキーの初期化ベクトル (IV) を決定します。 説明 -noheaderパラメーターと、CLOUDHSM_AES_KEY_WRAPおよびNIST_AES_WRAPメカニズムで使用する場合にのみ適用できます。 | 非対象 | 特別な要件なし |