本文介绍如何使用unWrapKey命令向HSM导入加密密钥。
功能说明
在运行此命令之前,必须启动key_mgmt_tool并以CU身份登录HSM。
语法
请按照下方语法输入参数,参数说明请参见参数。
unWrapKey -f <key-file-name>
-w <wrapping-key-handle>
[-sess]
[-min_srv <minimum-number-of-HSMs>]
[-timeout <number-of-seconds>]
[-tag_size <tag size>]
[-iv_file <IV file>]
[-attest]
[-m <wrapping-mechanism>]
[-t <hash-type>]
[-nex]
[-noheader]
[-l <key-label>]
[-id <key-id>]
[-kt <key-type>]
[-kc <key-class]
[-i <unwrapping-IV>]您必须按语法指定的顺序输入参数。
示例
本文以导入AES加密密钥文件为例,该密钥用句柄为6的AES密钥解密,输出结果显示导入后密钥的句柄为22。
Command: unWrapKey -f aes-encrypted.key -w 6 -m 4
Cfm2UnWrapKey5 returned: 0x00 : HSM Return: SUCCESS
Key Unwrapped. Key Handle: 22
Cluster Status:
Node id 0 status: 0x00000000 : HSM Return: SUCCESS参数
参数名称 | 描述 | 是否必需 | 有效值 |
-f | 指定加密密钥文件的路径和名称。 | 是 | 无特殊要求 |
-w | 指定解密的密钥句柄。 | 是 | 无特殊要求 |
-m | 指定解密机制。 | 是 |
|
tag_size | 指定数据块大小。 说明 仅当解密机制为AES_GCM和CLOUDHSM_AES_GCM时有效。 | 否 | 无特殊要求 |
iv_file | 指定AES初始向量的长度。 说明 仅当解密机制为AES_GCM时有效。 | 否 | 无特殊要求 |
-sess | 指定密钥作为当前会话密钥。 | 否 | 无特殊要求 |
-attest | 对固件响应进行完整性检查。 | 否 | 无特殊要求 |
-min_srv |
| 否 | 无特殊要求 |
-timeout |
| 否 | 无特殊要求 |
-t | 指定哈希算法的值。 |
| |
-nex | 将密钥设置成不可导出。 | 否 | 无特殊要求 |
-noheader | 忽略特定密钥属性的标头。 | 否 | 无特殊要求 |
-l | 指定导入密钥标签。 说明 仅当和-noheader参数一起传递时有效。 | 否 | 无特殊要求 |
-id | 指定导入密钥的ID。 说明 仅当和-noheader参数一起传递时有效。 | 无特殊要求 | |
-kc | 指定导入密钥的类别。 说明 仅当和-noheader参数一起传递时有效。 | 否 |
|
-kt | 指定导入密钥的类型。 说明 仅当和-noheader参数一起传递时有效。 | 否 |
|
-i | 指定导入密钥的初始化向量IV。 说明 仅当通过CLOUDHSM_AES_KEY_WRAP和NIST_AES_WRAP机制的-noheader参数传递时有效。 | 否 | 无特殊要求 |