Documentation sur Oracle Cloud Infrastructure

Application de RSA-OAEP avec AES pour envelopper le matériel de clé d'une clé asymétrique

Voyez comment appliquer RSA-OAEP à AES pour encapsuler du matériel de clé dans le service de gestion de clés OCI.

Utilisation de l'interface de ligne de commande

Cette section décrit comment appliquer RSA-OAEP avec AES pour encapsuler l'interface de commande de matériel clé.

Ouvrez une invite de commande et exécutez les commandes suivantes pour encapsuler le matériel de clé RSA à l'aide de RSA-OAEP avec une clé AES temporaire. Remplacez les exemples de noms de fichier et de valeurs selon vos besoins.

  1. Générer une clé AES temporaire :
    openssl rand -out <temporary_AES_key_path> 32
  2. Encapsulez la clé AES temporaire avec la clé d'encapsulation publique à l'aide de RSA-OAEP avec SHA-256 :
    openssl pkeyutl -encrypt -in <temporary_AES_key_path> -inkey <vault_public_wrapping_key_path> -pubin -out <wrapped_temporary_AES_key_file> -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256
  3. Générer un hexadécimal du matériau de clé AES temporaire :
    
                                    temporary_AES_key_hexdump=$(hexdump -v -e '/1 "%02x"' < ${temporary_AES_key_path})
  4. Si la clé privée RSA que vous voulez importer est au format PEM, convertissez-la en DER : 
    ${OpenSSL_path} pkcs8 -topk8 -nocrypt -inform PEM -outform DER -in <your_pem_RSA_private_key_path> -out <your_RSA_private_key_file>
  5. Encapsulez votre clé privée RSA avec la clé AES temporaire :
    openssl enc -id-aes256-wrap-pad -iv A65959A6 -K $temporary_AES_key_hexdump -in <your_RSA_private_key_file> -out <wrapped_target_key_file>
  6. Créez le matériel de clé encapsulée en concaténant les deux clés encapsulées : 
    cat <wrapped_temporary_AES_key_file>
                                    <wrapped_target_key_file> > <wrapped_key_material_file>
Note

Si vous importez la clé à l'aide de l'interface de commande, vous devez appliquer l'encodage base64 sur le matériel de clé encapsulé. Après avoir appliqué l'encodage bas64, vous devez importer la clé d'encapsulation. Pour plus d'informations, voir les étapes d'importation. Si vous importez le matériel de clé à l'aide de la console, vous pouvez importer directement le matériel de clé d'encapsulation sans encodage base64.

Pour la liste complète des paramètres et des valeurs pour les commandes de l'interface de ligne de commande, voir .