Genere una firma con el mecanismo ECDSA en la CLI de CloudHSM
Use el comando crypto sign ecdsa en la CLI de CloudHSM para generar una firma mediante una clave privada EC y el mecanismo de firma ECDSA.
Para usar el comando crypto sign ecdsa, primero debe tener una clave privada EC en el clúster de su AWS CloudHSM. Puede generar una clave privada EC mediante el comando Generación de un par de claves EC asimétricas con la CLI de CloudHSM con el atributo sign establecido en true.
nota
Las firmas se pueden verificar en AWS CloudHSM con subcomandos La categoría de verificación criptográfica en la CLI de CloudHSM.
Tipo de usuario
Los tipos de usuarios siguientes pueden ejecutar este comando.
-
Usuarios de criptografía (CU)
Requisitos
-
Para ejecutar este comando, debe iniciar sesión como CU.
Sintaxis
aws-cloudhsm >help crypto sign ecdsaSign with the ECDSA mechanism Usage: crypto sign ecdsa --key-filter [<KEY_FILTER>>...] --hash-function<HASH_FUNCTION><--data-path<DATA_PATH>|--data<DATA>> Options: --cluster-id<CLUSTER_ID>Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --key-filter [<KEY_FILTER>...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key --hash-function<HASH_FUNCTION>[possible values: sha1, sha224, sha256, sha384, sha512] --data-path<DATA_PATH>The path to the file containing the data to be signed --data<DATA>Base64 Encoded data to be signed --approval<APPROVAL>Filepath of signed quorum token file to approve operation --data-type<DATA_TYPE>The type of data passed in, either raw or digest [possible values: raw, digest] -h, --help Print help
Ejemplo
En estos ejemplos, se muestra cómo usar crypto sign ecdsa para generar una firma mediante el mecanismo de firma ECDSA y la función hash SHA256. Este comando usa una clave privada en el HSM.
ejemplo Ejemplo: generar una firma para los datos codificados en base 64
aws-cloudhsm >crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data YWJjMTIz{ "error_code": 0, "data": { "key-reference": "0x00000000007808dd", "signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw==" } }
ejemplo Ejemplo: generar una firma para un archivo de datos
aws-cloudhsm >crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data-path data.txt{ "error_code": 0, "data": { "key-reference": "0x00000000007808dd", "signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw==" } }
Argumentos
<CLUSTER_ID>-
El ID del clúster en el que se va a ejecutar esta operación.
Obligatorio: si se han configurado varios clústeres.
<DATA>-
Datos codificados en Base64 para firmarse.
Obligatorio: Sí (a menos que se proporcione por la ruta de datos)
<DATA_PATH>-
Especifica la ubicación de los datos que se deben firmar.
Obligatorio: Sí (a menos que se proporcione por la ruta de datos)
<HASH_FUNCTION>-
Especifica la función hash.
Valores válidos:
sha1
sha224
sha256
sha384
sha512
Obligatorio: sí
<KEY_FILTER>-
Referencia de clave (por ejemplo,
key-reference=0xabc) o lista de atributos de clave separados por espacios, con el formato attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE, para seleccionar una clave coincidente.Para obtener una lista de los atributos clave de la CLI de CloudHSM que son compatibles, consulte Atributos clave para la CLI de CloudHSM.
Obligatorio: sí
<APPROVAL>-
Especifica la ruta de archivo de token de cuórum firmado para aprobar la operación. Solo es obligatorio si el valor de quórum del servicio de uso de claves de la clave privada es mayor que 1.
<DATA_TYPE>-
Especifica si el valor del parámetro de datos debe someterse a hash como parte del algoritmo de firma. Use
rawpara datos sin aplicar hash; usedigestpara resúmenes, que ya están sometidos a hash.Valores válidos:
raw
resumen
Temas relacionados
