Generieren Sie eine Signatur mit dem HashEd DSA-Mechanismus in der CloudHSM-CLI - AWS CloudHSM
BenutzertypVoraussetzungenSyntaxBeispielArgumenteVerwandte Themen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Generieren Sie eine Signatur mit dem HashEd DSA-Mechanismus in der CloudHSM-CLI

Wichtig

HashEdDSA-Signaturvorgänge werden nur auf hsm2m.medium-Instances im Nicht-FIPS-Modus unterstützt.

Verwenden Sie den crypto sign ed25519ph Befehl in der CloudHSM-CLI, um eine Signatur mithilfe eines privaten Ed25519-Schlüssels und des HashEd DSA-Signaturmechanismus zu generieren. Weitere Informationen zu HashEd DSA finden Sie unter NIST SP 186-5, Abschnitt 7.8.

Um den crypto sign ed25519ph Befehl verwenden zu können, benötigen Sie zunächst einen privaten Ed25519-Schlüssel in Ihrem Cluster. AWS CloudHSM Sie können einen privaten Ed25519-Schlüssel generieren, indem Sie den Generieren Sie ein asymmetrisches EC-Schlüsselpaar mit CloudHSM CLI Befehl verwenden, wobei der curve Parameter auf ed25519 und das sign Attribut auf gesetzt ist. true

Anmerkung

Signaturen können AWS CloudHSM mit Die Kategorie Crypto Verify in CloudHSM CLI Unterbefehlen verifiziert werden.

Benutzertyp

Die folgenden Benutzertypen können diesen Befehl ausführen.

  • Krypto-Benutzer () CUs

Voraussetzungen

  • Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

  • HashEdDSA-Signaturvorgänge werden nur auf hsm2m.medium-Instances im Nicht-FIPS-Modus unterstützt.

Syntax

aws-cloudhsm > help crypto sign ed25519ph
Sign with the Ed25519ph mechanism

Usage: crypto sign ed25519ph [OPTIONS] --key-filter [<KEY_FILTER>...] --data-type <DATA_TYPE> --hash-function <HASH_FUNCTION> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --key-filter [<KEY_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
      --data-path <DATA_PATH>
          The path to the file containing the data to be signed
      --data <DATA>
          Base64 Encoded data to be signed
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
      --data-type <DATA_TYPE>
          The type of data passed in, either raw or digest [possible values: raw, digest]
      --hash-function <HASH_FUNCTION>
          Hash function [possible values: sha512]
  -h, --help
          Print help

Beispiel

Diese Beispiele zeigen, wie eine Signatur mithilfe des crypto sign ed25519ph Ed25519PH-Signaturmechanismus und der Hash-Funktion generiert wird. sha512 Dieser Befehl verwendet einen privaten Schlüssel im HSM.

Beispiel Beispiel: Generieren Sie eine Signatur für Base-64-kodierte Daten
aws-cloudhsm > crypto sign ed25519ph \
    --key-filter attr.label=ed25519-private \
    --data-type raw \
    --hash-function sha512 \
    --data YWJj
{
  "error_code": 0,
  "data": {
    "key-reference": "0x0000000000401cdf",
    "signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
  }
}
Beispiel Beispiel: Generieren Sie eine Signatur für eine Datendatei
aws-cloudhsm > crypto sign ed25519ph \
    --key-filter attr.label=ed25519-private \
    --data-type raw \
    --hash-function sha512 \
    --data-path data.txt
{
  "error_code": 0,
  "data": {
    "key-reference": "0x0000000000401cdf",
    "signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
  }
}

Argumente

<CLUSTER_ID>

Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.

Erforderlich: Wenn mehrere Cluster konfiguriert wurden.

<DATA>

Base64-kodierte Daten, die signiert werden sollen.

Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)

<DATA_PATH>

Gibt den Speicherort der zu signierenden Daten an.

Erforderlich: Ja (sofern nicht über den Datenparameter angegeben)

<HASH_FUNCTION>

Gibt die Hash-Funktion an. ED25519Ph unterstützt nur. SHA512

Zulässige Werte:

  • sha512

Erforderlich: Ja

<KEY_FILTER>

Schlüsselreferenz (z. B.key-reference=0xabc) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form attr.key_attribute_name=KEY_ATTRIBUTE_VALUE, um einen passenden Schlüssel auszuwählen.

Eine Liste der unterstützten CloudHSM-CLI-Schlüsselattribute finden Sie unter. Schlüsselattribute für CloudHSM-CLI

Erforderlich: Ja

<APPROVAL>

Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des privaten Schlüssels für den Schlüsselverwendungsdienst größer als 1 ist.

<DATA_TYPE>

Gibt an, ob der Wert des Datenparameters als Teil des Signaturalgorithmus gehasht werden soll. Wird raw für Daten ohne Hashwert verwendet; wird digest für Digests verwendet, die bereits gehasht wurden.

Zulässige Werte:

  • RAW

  • Digest

Erforderlich: Ja

Verwandte Themen