Überprüfen Sie eine mit dem HashEd DSA-Mechanismus signierte Signatur in der CloudHSM-CLI - AWS CloudHSM
BenutzertypVoraussetzungenSyntaxBeispielArgumenteVerwandte Themen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überprüfen Sie eine mit dem HashEd DSA-Mechanismus signierte Signatur in der CloudHSM-CLI

Wichtig

HashEdVorgänge zur Überprüfung der DSA-Signatur werden nur auf hsm2m.medium-Instances im Nicht-FIPS-Modus unterstützt.

Verwenden Sie den crypto verify ed25519ph Befehl in der CloudHSM-CLI, um die folgenden Vorgänge abzuschließen:

  • Überprüfen Sie die Signaturen von Daten oder Dateien mithilfe eines bestimmten öffentlichen Ed25519-Schlüssels.

  • Vergewissern Sie sich, dass die Signatur mithilfe des HashEd DSA-Signaturmechanismus generiert wurde. Weitere Informationen zu HashEd DSA finden Sie unter NIST SP 186-5, Abschnitt 7.8.

Um den crypto verify ed25519ph Befehl verwenden zu können, benötigen Sie zunächst einen öffentlichen Ed25519-Schlüssel in Ihrem Cluster. AWS CloudHSM Sie können ein Ed25519-Schlüsselpaar mit dem Generieren Sie ein asymmetrisches EC-Schlüsselpaar mit CloudHSM CLI Befehl generieren, bei dem der curve Parameter auf ed25519 und das verify Attribut auf gesetzt isttrue, oder einen öffentlichen Ed25519-Schlüssel mit dem Importieren Sie einen Schlüssel im PEM-Format mit der CloudHSM-CLI Befehl importieren, bei dem das Attribut auf gesetzt ist. verify true

Anmerkung

Sie können in der CloudHSM-CLI eine Signatur mit Die Kategorie Kryptozeichen in CloudHSM CLI Unterbefehlen generieren.

Benutzertyp

Die folgenden Benutzertypen können diesen Befehl ausführen.

  • Crypto-Benutzer () CUs

Voraussetzungen

  • Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

  • HashEdVorgänge zur Überprüfung der DSA-Signatur werden nur auf hsm2m.medium-Instances im Nicht-FIPS-Modus unterstützt.

Syntax

aws-cloudhsm > help crypto verify ed25519ph
Verify with the Ed25519ph mechanism

Usage: crypto verify ed25519ph [OPTIONS] --key-filter [<KEY_FILTER>...] --data-type <DATA_TYPE> --hash-function <HASH_FUNCTION> <--data-path <DATA_PATH>|--data <DATA>> <--signature-path <SIGNATURE_PATH>|--signature <SIGNATURE>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --key-filter [<KEY_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
      --data-path <DATA_PATH>
          The path to the file containing the data to be verified
      --data <DATA>
          Base64 encoded data to be verified
      --signature-path <SIGNATURE_PATH>
          The path to where the signature is located
      --signature <SIGNATURE>
          Base64 encoded signature to be verified
      --data-type <DATA_TYPE>
          The type of data passed in, either raw or digest [possible values: raw, digest]
      --hash-function <HASH_FUNCTION>
          Hash function [possible values: sha512]
  -h, --help
          Print help

Beispiel

Diese Beispiele zeigen, wie eine Signatur verifiziert wird, crypto verify ed25519ph die mit dem Signaturmechanismus und der Hash-Funktion ED25519PH generiert wurde. sha512 Dieser Befehl verwendet einen öffentlichen Ed25519-Schlüssel im HSM.

Beispiel Beispiel: Überprüfen Sie eine Base64-codierte Signatur mit Base64-codierten Daten
aws-cloudhsm > crypto verify ed25519ph \
    --hash-function sha512 \
    --key-filter attr.label=ed25519-public \
    --data-type raw \
    --data YWJj \
    --signature mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg==
{
  "error_code": 0,
  "data": {
    "message": "Signature verified successfully"
  }
}
Beispiel Beispiel: Überprüfen Sie eine Signaturdatei mit einer Datendatei
aws-cloudhsm > crypto verify ed25519ph \
    --hash-function sha512 \
    --key-filter attr.label=ed25519-public \
    --data-type raw \
    --data-path data.txt \
    --signature-path signature-file
{
  "error_code": 0,
  "data": {
    "message": "Signature verified successfully"
  }
}

Argumente

<CLUSTER_ID>

Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.

Erforderlich: Wenn mehrere Cluster konfiguriert wurden.

<DATA>

Base64-kodierte Daten müssen verifiziert werden.

Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)

<DATA_PATH>

Gibt den Speicherort der zu überprüfenden Daten an.

Erforderlich: Ja (sofern nicht über den Datenparameter angegeben)

<HASH_FUNCTION>

Gibt die Hash-Funktion an. ED25519Ph unterstützt nur. SHA512

Zulässige Werte:

  • sha512

Erforderlich: Ja

<KEY_FILTER>

Schlüsselreferenz (z. B.key-reference=0xabc) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE zur Auswahl eines passenden Schlüssels.

Eine Liste der unterstützten CloudHSM-CLI-Schlüsselattribute finden Sie unter. Schlüsselattribute für CloudHSM-CLI

Erforderlich: Ja

<SIGNATURE>

Base64-kodierte Signatur.

Erforderlich: Ja (sofern nicht im Signaturpfad angegeben)

<SIGNATURE_PATH>

Gibt den Speicherort der Signatur an.

Erforderlich: Ja (sofern nicht über den Signaturparameter angegeben)

<DATA_TYPE>

Gibt an, ob der Wert des Datenparameters als Teil des Überprüfungsalgorithmus gehasht werden soll. Wird raw für Daten ohne Hashwert verwendet; wird digest für Digests verwendet, die bereits gehasht wurden.

Zulässige Werte:

  • RAW

  • Digest

Erforderlich: Ja

Verwandte Themen