本文介紹如何使用unWrapKey命令向HSM匯入加密金鑰。
功能說明
在運行此命令之前,必須啟動key_mgmt_tool並以CU身份登入HSM。
文法
請按照下方文法輸入參數,參數說明請參見參數。
unWrapKey -f <key-file-name>
-w <wrapping-key-handle>
[-sess]
[-min_srv <minimum-number-of-HSMs>]
[-timeout <number-of-seconds>]
[-tag_size <tag size>]
[-iv_file <IV file>]
[-attest]
[-m <wrapping-mechanism>]
[-t <hash-type>]
[-nex]
[-noheader]
[-l <key-label>]
[-id <key-id>]
[-kt <key-type>]
[-kc <key-class]
[-i <unwrapping-IV>]您必須按文法指定的順序輸入參數。
樣本
本文以匯入AES加密金鑰檔案為例,該密鑰用控制代碼為6的AES密鑰解密,輸出結果顯示匯入後密鑰的控制代碼為22。
Command: unWrapKey -f aes-encrypted.key -w 6 -m 4
Cfm2UnWrapKey5 returned: 0x00 : HSM Return: SUCCESS
Key Unwrapped. Key Handle: 22
Cluster Status:
Node id 0 status: 0x00000000 : HSM Return: SUCCESS參數
參數名稱 | 描述 | 是否必需 | 有效值 |
-f | 指定加密金鑰檔案的路徑和名稱。 | 是 | 無特殊要求 |
-w | 指定解密的密鑰控制代碼。 | 是 | 無特殊要求 |
-m | 指定解密機制。 | 是 |
|
tag_size | 指定資料區塊大小。 說明 僅當解密機製為AES_GCM和CLOUDHSM_AES_GCM時有效。 | 否 | 無特殊要求 |
iv_file | 指定AES初始向量的長度。 說明 僅當解密機製為AES_GCM時有效。 | 否 | 無特殊要求 |
-sess | 指定密鑰作為當前工作階段金鑰。 | 否 | 無特殊要求 |
-attest | 對韌體響應進行完整性檢查。 | 否 | 無特殊要求 |
-min_srv |
| 否 | 無特殊要求 |
-timeout |
| 否 | 無特殊要求 |
-t | 指定雜湊演算法的值。 |
| |
-nex | 將密鑰設定成不可匯出。 | 否 | 無特殊要求 |
-noheader | 忽略特定密鑰屬性的標題。 | 否 | 無特殊要求 |
-l | 指定匯入密鑰標籤。 說明 僅當和-noheader參數一起傳遞時有效。 | 否 | 無特殊要求 |
-id | 指定匯入密鑰的ID。 說明 僅當和-noheader參數一起傳遞時有效。 | 無特殊要求 | |
-kc | 指定匯入密鑰的類別。 說明 僅當和-noheader參數一起傳遞時有效。 | 否 |
|
-kt | 指定匯入密鑰的類型。 說明 僅當和-noheader參數一起傳遞時有效。 | 否 |
|
-i | 指定匯入密鑰的初始化向量IV。 說明 僅當通過CLOUDHSM_AES_KEY_WRAP和NIST_AES_WRAP機制的-noheader參數傳遞時有效。 | 否 | 無特殊要求 |