本文介绍如何使用wrapKey命令导出加密密钥。
功能说明
wrapKey命令将对称密钥或私有密钥的加密副本从HSM导出到文件中。
只有密钥的拥有者(即创建该密钥的 CU 用户)才能导出它。共享密钥的用户可以在加密操作中使用密钥,但无法导出它。
要将加密密钥重新导入HSM,请使用unWrapKey。要从HSM导出纯文本密钥,请根据需要使用exSymKey或exportPrivateKey。
在运行此命令之前,必须启动key_mgmt_tool并以CU身份登录HSM。
语法
请按照下方语法输入参数,参数说明请参见参数。
wrapKey -k <exported-key-handle>
-w <wrapping-key-handle>
-out <output-file>
[-m <wrapping-mechanism>]
[-t <hash-type>]
[-noheader]
[-i <wrapping IV>]
[-iv_file <IV file>]
[-tag_size <num_tag_bytes>>]您必须按语法指定的顺序输入参数。
示例
本示例以导出RSA非对称密钥(密钥句柄为8)在HSM使用AES密钥(密钥句柄为6)加密后的文件为例。
Command: wrapKey -k 8 -w 6 -out aes-encrypted.key -m 4
Cfm2WrapKey5 returned: 0x00 : HSM Return: SUCCESS
Key Wrapped.
Wrapped Key written to file "aes-encrypted.key" length 1516您必须按语法指定的顺序输入参数。
参数
参数名称 | 描述 | 是否必需 | 有效值 |
-k | 指定要导出密钥的句柄。 | 是 | 无特殊要求 |
-w | 指定加密的密钥句柄。 | 是 | 无特殊要求 |
-out | 指定输出文件的路径和名称。 | 是 | 无特殊要求 |
-m | 指定导出密钥的加密机制。 | 是 |
|
-t | 指定哈希算法的值。 |
| |
-noheader | 忽略特定密钥属性的标头 | 否 | 无特殊要求 |
-i | 指定初始化向量 说明 仅当通过CLOUDHSM_AES_KEY_WRAP和NIST_AES_WRAP机制的-noheader参数传递时有效。 | 否 | 无特殊要求 |
-iv_file | 指定初始化向量文件。 说明 仅当通过AES_GCM机制的-noheader参数传递时有效。 | 否 | 无特殊要求 |
-tag_size | 指定数据块大小。 说明 仅当通过AES_GCM和CLOUDHSM_AES_GCM机制的-noheader参数传递时有效。 | 否 | 最小值为8。 |