本文介紹如何使用wrapKey命令匯出加密金鑰。
功能說明
wrapKey命令將對稱金鑰或私人密鑰的加密副本從HSM匯出到檔案中。
只有密鑰的擁有者(即建立該密鑰的 CU 使用者)才能匯出它。共用密鑰的使用者可以在加密操作中使用密鑰,但無法匯出它。
要將加密金鑰重新匯入HSM,請使用unWrapKey。要從HSM匯出純文字密鑰,請根據需要使用exSymKey或exportPrivateKey。
在運行此命令之前,必須啟動key_mgmt_tool並以CU身份登入HSM。
文法
請按照下方文法輸入參數,參數說明請參見參數。
wrapKey -k <exported-key-handle>
-w <wrapping-key-handle>
-out <output-file>
[-m <wrapping-mechanism>]
[-t <hash-type>]
[-noheader]
[-i <wrapping IV>]
[-iv_file <IV file>]
[-tag_size <num_tag_bytes>>]您必須按文法指定的順序輸入參數。
樣本
本樣本以匯出RSA非對稱金鑰(密鑰控制代碼為8)在HSM使用AES密鑰(密鑰控制代碼為6)加密後的檔案為例。
Command: wrapKey -k 8 -w 6 -out aes-encrypted.key -m 4
Cfm2WrapKey5 returned: 0x00 : HSM Return: SUCCESS
Key Wrapped.
Wrapped Key written to file "aes-encrypted.key" length 1516您必須按文法指定的順序輸入參數。
參數
參數名稱 | 描述 | 是否必需 | 有效值 |
-k | 指定要匯出密鑰的控制代碼。 | 是 | 無特殊要求 |
-w | 指定加密的密鑰控制代碼。 | 是 | 無特殊要求 |
-out | 指定輸出檔案的路徑和名稱。 | 是 | 無特殊要求 |
-m | 指定匯出密鑰的加密機制。 | 是 |
|
-t | 指定雜湊演算法的值。 |
| |
-noheader | 忽略特定密鑰屬性的標題 | 否 | 無特殊要求 |
-i | 指定初始化向量 說明 僅當通過CLOUDHSM_AES_KEY_WRAP和NIST_AES_WRAP機制的-noheader參數傳遞時有效。 | 否 | 無特殊要求 |
-iv_file | 指定初始化向量檔案。 說明 僅當通過AES_GCM機制的-noheader參數傳遞時有效。 | 否 | 無特殊要求 |
-tag_size | 指定資料區塊大小。 說明 僅當通過AES_GCM和CLOUDHSM_AES_GCM機制的-noheader參數傳遞時有效。 | 否 | 最小值為8。 |