このトピックでは、wrapKeyコマンドを使用して暗号化されたキーをHSMからエクスポートするプロセスについて説明します。
機能の説明
wrapKeyコマンドを使用すると、対称鍵または秘密鍵の暗号化されたコピーをHSMからファイルにエクスポートできます。
キーの所有者であるキーを生成したCUユーザーのみが、キーをエクスポートする権限を与えられます。 共有アクセス権を持つユーザーは、暗号化操作にキーを使用できますが、エクスポートすることはできません。
暗号化されたキーをHSMに再インポートするには、unWrapKeyを参照してください。 HSMからプレーンテキストでキーをエクスポートするには、必要に応じてexSymKeyまたはexportPrivateKeyを使用します。
このコマンドを実行する前に、key_mgmt_toolを開始し、CU IDとしてHSMにログオンしていることを確認してください。
構文
以下の構文に従ってパラメーターを入力します。 パラメーターの詳細については、「パラメーター」をご参照ください。
wrapKey -k <exported-key-handle>
-w <wrapping-key-handle>
-out <output-file>
[-m <wrapping-mechanism>]
[-t <hash-type>]
[-noheader]
[-i <wrapping IV>]
[-iv_file <IV file>]
[-tag_size <num_tag_bytes>>]パラメーターは、構文で概説されている順序で入力する必要があります。
例
次の例は、AESキー (キーハンドル6) で暗号化されたRSA非対称キー (キーハンドル8) をHSMからファイルにエクスポートする方法を示しています。
Command: wrapKey -k 8 -w 6 -out aes-encrypted.key -m 4
Cfm2WrapKey5 returned: 0x00 : HSM Return: SUCCESS
Key Wrapped.
Wrapped Key written to file "aes-encrypted.key" length 1516パラメーターは、構文で概説されている順序で入力する必要があります。
Parameters
パラメーター名 | 説明 | 必須 / 任意 | 有効な値 |
-k | エクスポートするキーのハンドルを識別します。 | 対象 | 特別な要件なし |
-w | 暗号化キーのハンドルを指定します。 | 対象 | 特別な要件なし |
-アウト | 出力ファイルのパスと名前を定义します。 | 対象 | 特別な要件なし |
-m | エクスポートされたキーの暗号化メカニズムを決定します。 | 対象 |
|
-t | 使用するハッシュアルゴリズムを指定します。 |
| |
-noheader | 特定のキープロパティを含むヘッダーを省略します。 | 非対象 | 特別な要件なし |
-i | 初期化ベクトルを定義します。 説明 CLOUDHSM_AES_KEY_WRAPおよびNIST_AES_WRAPメカニズムの-noheaderパラメーターとともに使用する場合にのみ適用できます。 | 非対象 | 特別な要件なし |
-iv_file | 初期化ベクトルを含むファイルを示します。 説明 AES_GCMメカニズムの-noheaderパラメーターと共に使用する場合にのみ適用できます。 | 非対象 | 特別な要件なし |
-tag_size | 操作のブロックサイズを決定します。 説明 AES_GCMおよびCLOUDHSM_AES_GCMメカニズムの-noheaderパラメーターとともに使用する場合にのみ適用できます。 | 非対象 | 最小値は8です。 |