Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # La categoría criptográfica en la CLI de CloudHSM En la CLI de CloudHSM, **crypto** es una categoría principal para un grupo de comandos que, en combinación con la categoría principal, crea un comando específico para operaciones criptográficas. Actualmente, esta categoría consta de los siguientes comandos: + [sign](cloudhsm_cli-crypto-sign.md) + [ecdsa](cloudhsm_cli-crypto-sign-ecdsa.md) + [ed25519ph](cloudhsm_cli-crypto-sign-ed25519ph.md) + [rsa-pkcs](cloudhsm_cli-crypto-sign-rsa-pkcs.md) + [rsa-pkcs-pss](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md) + [verificar](cloudhsm_cli-crypto-verify.md) + [ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md) + [ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md) + [rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md) + [rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md) # La categoría de firma criptográfica en la CLI de CloudHSM En la CLI de CloudHSM, **crypto sign** es una categoría principal para un grupo de comandos que, cuando se combinan con la categoría principal, usan una clave privada elegida en el clúster de su AWS CloudHSM para generar una firma. **crypto sign** tiene los siguientes subcomandos: + [Genere una firma con el mecanismo ECDSA en la CLI de CloudHSM](cloudhsm_cli-crypto-sign-ecdsa.md) + [Genere una firma con el mecanismo HashEd DSA en CloudHSM CLI](cloudhsm_cli-crypto-sign-ed25519ph.md) + [Genere una firma con el mecanismo RSA-PKCS en la CLI de CloudHSM](cloudhsm_cli-crypto-sign-rsa-pkcs.md) + [Genere una firma con el RSA-PKCS-PSS mecanismo de CloudHSM CLI](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md) Para usar **crypto sign**, primero debe tener una clave privada en si HSM. Puede generar una clave privada con los siguientes comandos: + [clave, generate-asymmetric-pair etc.](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) + [clave generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) # Genere una firma con el mecanismo ECDSA en la CLI de CloudHSM Use el comando **crypto sign ecdsa** en la CLI de CloudHSM para generar una firma mediante una clave privada EC y el mecanismo de firma ECDSA. Para usar el **crypto sign ecdsa** comando, primero debe tener una clave privada EC en su AWS CloudHSM clúster. Puede generar una clave privada EC mediante el comando [Generación de un par de claves EC asimétricas con la CLI de CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) con el atributo `sign` establecido en `true`. La firma ECDSA resultante se genera en el formato `r||s` en el que los componentes r y s se concatenan como datos binarios sin procesar y se devuelven en formato codificado en base64. **nota** Las firmas se pueden verificar con subcomandos. AWS CloudHSM [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md) ## Tipo de usuario Los tipos de usuarios siguientes pueden ejecutar este comando. + Usuarios de criptomonedas () CUs ## Requisitos + Para ejecutar este comando, debe iniciar sesión como CU. ## Sintaxis ``` aws-cloudhsm > help crypto sign ecdsa Sign with the ECDSA mechanism Usage: crypto sign ecdsa --key-filter [>...] --hash-function <--data-path |--data > Options: --cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key --hash-function [possible values: sha1, sha224, sha256, sha384, sha512] --data-path The path to the file containing the data to be signed --data Base64 Encoded data to be signed --approval Filepath of signed quorum token file to approve operation --data-type The type of data passed in, either raw or digest [possible values: raw, digest] -h, --help Print help ``` ## Ejemplo En estos ejemplos, se muestra cómo usar **crypto sign ecdsa** para generar una firma mediante el mecanismo de firma ECDSA y la función hash `SHA256`. Este comando usa una clave privada en el HSM. **Example Ejemplo: generar una firma para los datos codificados en base 64** ``` aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data YWJjMTIz { "error_code": 0, "data": { "key-reference": "0x00000000007808dd", "signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw==" } } ``` **Example Ejemplo: generar una firma para un archivo de datos** ``` aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data-path data.txt { "error_code": 0, "data": { "key-reference": "0x00000000007808dd", "signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw==" } } ``` ## Argumentos ****** El ID del clúster en el que se va a ejecutar esta operación. Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres. ****** Datos codificados en Base64 para firmarse. Obligatorio: Sí (a menos que se proporcione por la ruta de datos) ****** Especifica la ubicación de los datos que se deben firmar. Obligatorio: Sí (a menos que se proporcione por la ruta de datos) ****** Especifica la función hash. Valores válidos: + sha1 + sha224 + sha256 + sha384 + sha512 Obligatorio: sí ****** Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos de clave separados por espacios, con el formato attr.KEY\$1ATTRIBUTE\$1NAME=KEY\$1ATTRIBUTE\$1VALUE, para seleccionar una clave coincidente. Para obtener una lista de los atributos clave de la CLI de CloudHSM que son compatibles, consulte Atributos clave para la CLI de CloudHSM. Obligatorio: sí ****** Especifica la ruta de archivo de token de cuórum firmado para aprobar la operación. Solo es obligatorio si el valor de quórum del servicio de uso de claves de la clave privada es mayor que 1. ****** Especifica si el valor del parámetro de datos debe someterse a hash como parte del algoritmo de firma. Use `raw` para datos sin aplicar hash; use `digest` para resúmenes, que ya están sometidos a hash. Valores válidos: + raw + resumen ## Temas relacionados + [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md) + [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md) # Genere una firma con el mecanismo HashEd DSA en CloudHSM CLI **importante** HashEdLas operaciones de firma de DSA solo se admiten en las instancias hsm2m.medium en modo que no sea FIPS. Utilice el **crypto sign ed25519ph** comando de la CLI de CloudHSM para generar una firma mediante una clave HashEd privada Ed25519 y el mecanismo de firma DSA. Para obtener información adicional sobre la HashEd DSA, consulte la sección 7.8 del [NIST](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf) SP 186-5. Para usar el **crypto sign ed25519ph** comando, primero debe tener una clave privada Ed25519 en su clúster. AWS CloudHSM Puede generar una clave privada Ed25519 mediante el [Generación de un par de claves EC asimétricas con la CLI de CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) comando con el `curve` parámetro establecido en `ed25519` y el `sign` atributo establecido en. `true` **nota** Las firmas se pueden verificar AWS CloudHSM con [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md) subcomandos. ## Tipo de usuario Los tipos de usuarios siguientes pueden ejecutar este comando. + Usuarios de criptomonedas () CUs ## Requisitos + Para ejecutar este comando, debe iniciar sesión como CU. + HashEdLas operaciones de firma de DSA solo se admiten en las instancias hsm2m.medium en modo que no sea FIPS. ## Sintaxis ``` aws-cloudhsm > help crypto sign ed25519ph Sign with the Ed25519ph mechanism Usage: crypto sign ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data > Options: --cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key --data-path The path to the file containing the data to be signed --data Base64 Encoded data to be signed --approval Filepath of signed quorum token file to approve operation --data-type The type of data passed in, either raw or digest [possible values: raw, digest] --hash-function Hash function [possible values: sha512] -h, --help Print help ``` ## Ejemplo Estos ejemplos muestran cómo generar una firma mediante el mecanismo de firma **crypto sign ed25519ph** ED25519ph y la función hash. `sha512` Este comando usa una clave privada en el HSM. **Example Ejemplo: generar una firma para los datos codificados en base 64** ``` aws-cloudhsm > crypto sign ed25519ph \ --key-filter attr.label=ed25519-private \ --data-type raw \ --hash-function sha512 \ --data YWJj { "error_code": 0, "data": { "key-reference": "0x0000000000401cdf", "signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg==" } } ``` **Example Ejemplo: generar una firma para un archivo de datos** ``` aws-cloudhsm > crypto sign ed25519ph \ --key-filter attr.label=ed25519-private \ --data-type raw \ --hash-function sha512 \ --data-path data.txt { "error_code": 0, "data": { "key-reference": "0x0000000000401cdf", "signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg==" } } ``` ## Argumentos ****** El ID del clúster en el que se va a ejecutar esta operación. Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres. ****** Datos codificados en Base64 para firmarse. Obligatorio: Sí (a menos que se proporcione por la ruta de datos) ****** Especifica la ubicación de los datos que se deben firmar. Obligatorio: Sí (a menos que se proporcione a través del parámetro de datos) ****** Especifica la función hash. Solo es compatible con ED25519ph. SHA512 Valores válidos: + sha512 Obligatorio: sí ****** Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos de clave separados por espacios, con el formato attr.KEY\$1ATTRIBUTE\$1NAME=KEY\$1ATTRIBUTE\$1VALUE, para seleccionar una clave coincidente. Para obtener una lista de los atributos clave de la CLI de CloudHSM compatibles, consulte. [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md) Obligatorio: sí ****** Especifica la ruta de archivo de token de cuórum firmado para aprobar la operación. Solo es obligatorio si el valor de quórum del servicio de uso de claves de la clave privada es mayor que 1. ****** Especifica si el valor del parámetro de datos debe someterse a hash como parte del algoritmo de firma. Use `raw` para datos sin aplicar hash; use `digest` para resúmenes, que ya están sometidos a hash. Valores válidos: + raw + resumen Obligatorio: sí ## Temas relacionados + [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md) + [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md) # Genere una firma con el mecanismo RSA-PKCS en la CLI de CloudHSM Use el comando **crypto sign rsa-pkcs** en la CLI de CloudHSM para generar una firma mediante una clave privada RSA y el mecanismo de firma RSA-PKCS. Para usar el **crypto sign rsa-pkcs** comando, primero debe tener una clave privada RSA en el AWS CloudHSM clúster. Puede generar una clave privada RSA mediante el comando [Generación de un par de claves RSA asimétricas con la CLI de CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) con el atributo `sign` establecido en `true`. **nota** Las firmas se pueden verificar AWS CloudHSM con [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md) subcomandos. ## Tipo de usuario Los tipos de usuarios siguientes pueden ejecutar este comando. + Usuarios de criptomonedas () CUs ## Requisitos + Para ejecutar este comando, debe iniciar sesión como CU. ## Sintaxis ``` aws-cloudhsm > help crypto sign rsa-pkcs Sign with the RSA-PKCS mechanism Usage: crypto sign rsa-pkcs --key-filter [>...] --hash-function <--data-path |--data > Options: --cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key --hash-function [possible values: sha1, sha224, sha256, sha384, sha512] --data-path The path to the file containing the data to be signed --data Base64 Encoded data to be signed --approval Filepath of signed quorum token file to approve operation --data-type The type of data passed in, either raw or digest [possible values: raw, digest] -h, --help Print help ``` ## Ejemplo En estos ejemplos, se muestra cómo usar **crypto sign rsa-pkcs** para generar una firma mediante el mecanismo de firma RSA-PKCS y la función hash `SHA256`. Este comando usa una clave privada en el HSM. **Example Ejemplo: generar una firma para los datos codificados en base 64** ``` aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz { "error_code": 0, "data": { "key-reference": "0x00000000007008db", "signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==" } } ``` **Example Ejemplo: generar una firma para un archivo de datos** ``` aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt { "error_code": 0, "data": { "key-reference": "0x00000000007008db", "signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==" } } ``` ## Argumentos ****** El ID del clúster en el que se va a ejecutar esta operación. Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres. ****** Datos codificados en Base64 para firmarse. Obligatorio: Sí (a menos que se proporcione por la ruta de datos) ****** Especifica la ubicación de los datos que se deben firmar. Obligatorio: Sí (a menos que se proporcione mediantes datos) ****** Especifica la función hash. Valores válidos: + sha1 + sha224 + sha256 + sha384 + sha512 Obligatorio: sí ****** Referencia clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave coincidente. Para obtener una lista de los atributos clave de la CLI de CloudHSM que son compatibles, consulte Atributos clave para la CLI de CloudHSM. Obligatorio: sí ****** Especifica la ruta de archivo de token de cuórum firmado para aprobar la operación. Solo es obligatorio si el valor de quórum del servicio de uso de claves de la clave privada es mayor que 1. ****** Especifica si el valor del parámetro de datos debe someterse a hash como parte del algoritmo de firma. Use `raw` para datos sin aplicar hash; use `digest` para resúmenes, que ya están sometidos a hash. En el caso de RSA-PKCS, los datos se deben pasar en formato codificado DER, según se especifica en la [Sección 9.2 del RFC 8017.](https://www.rfc-editor.org/rfc/rfc8017#section-9.2) Valores válidos: + raw + resumen ## Temas relacionados + [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md) + [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md) # Genere una firma con el RSA-PKCS-PSS mecanismo de CloudHSM CLI Use el comando **crypto sign rsa-pkcs-pss** en la CLI de CloudHSM para generar una firma mediante una clave privada RSA y el mecanismo de firma `RSA-PKCS-PSS`. Para usar el **crypto sign rsa-pkcs-pss** comando, primero debe tener una clave privada RSA en su clúster. AWS CloudHSM Puede generar una clave privada RSA mediante el comando [Generación de un par de claves RSA asimétricas con la CLI de CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) con el atributo `sign` establecido en `true`. **nota** Las firmas se pueden verificar AWS CloudHSM con [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md) subcomandos. ## Tipo de usuario Los tipos de usuarios siguientes pueden ejecutar este comando. + Usuarios de criptomonedas () CUs ## Requisitos + Para ejecutar este comando, debe iniciar sesión como CU. ## Sintaxis ``` aws-cloudhsm > help crypto sign rsa-pkcs-pss Sign with the RSA-PKCS-PSS mechanism Usage: crypto sign rsa-pkcs-pss [OPTIONS] --key-filter [...] --hash-function --mgf --salt-length <--data-path |--data > Options: --cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key --hash-function [possible values: sha1, sha224, sha256, sha384, sha512] --data-path The path to the file containing the data to be signed --data Base64 Encoded data to be signed --mgf The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512] --salt-length The salt length --approval Filepath of signed quorum token file to approve operation --data-type The type of data passed in, either raw or digest [possible values: raw, digest] -h, --help Print help ``` ## Ejemplo En estos ejemplos, se muestra cómo usar **crypto sign rsa-pkcs-pss** para generar una firma mediante el mecanismo de firma `RSA-PKCS-PSS` y la función hash `SHA256`. Este comando usa una clave privada en el HSM. **Example Ejemplo: generar una firma para los datos codificados en base 64** ``` aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256 { "error_code": 0, "data": { "key-reference": "0x00000000007008db", "signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==" } } ``` **Example Ejemplo: generar una firma para un archivo de datos** ``` aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256 { "error_code": 0, "data": { "key-reference": "0x00000000007008db", "signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==" } } ``` ## Argumentos ****** El ID del clúster en el que se va a ejecutar esta operación. Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres. ****** Datos codificados en Base64 para firmarse. Obligatorio: Sí (a menos que se proporcione por la ruta de datos) ****** Especifica la ubicación de los datos que se deben firmar. Obligatorio: Sí (a menos que se proporcione mediantes datos) ****** Especifica la función hash. Valores válidos: + sha1 + sha224 + sha256 + sha384 + sha512 Obligatorio: sí ****** Referencia clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave coincidente. Para obtener una lista de los atributos clave de la CLI de CloudHSM que son compatibles, consulte Atributos clave para la CLI de CloudHSM. Obligatorio: sí ****** Especifica la función de generación de máscaras. La función hash de la función de generación de máscaras debe coincidir con la función hash del mecanismo de firma. Valores válidos: + mgf1-sha1 + mgf1-sha224 + mgf1-sha256 + mgf1-sha384 + mgf1-sha512 Obligatorio: sí ****** Especifica la longitud de sal. Obligatorio: sí ****** Especifica la ruta de archivo de token de cuórum firmado para aprobar la operación. Solo es obligatorio si el valor de quórum del servicio de uso de claves de la clave privada es mayor que 1. ****** Especifica si el valor del parámetro de datos debe someterse a hash como parte del algoritmo de firma. Use `raw` para datos sin aplicar hash; use `digest` para resúmenes, que ya están sometidos a hash. Valores válidos: + raw + resumen ## Temas relacionados + [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md) + [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md) ## Temas relacionados + [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md) # La categoría de verificación criptográfica en la CLI de CloudHSM En la CLI de CloudHSM, **crypto verify** es una categoría principal para un grupo de comandos que, en combinación con la categoría principal, confirma si un archivo se ha firmado con una clave determinada. **crypto verify** tiene los siguientes subcomandos: + [crypto verify ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md) + [verificación criptográfica ed25519.ph](cloudhsm_cli-crypto-verify-ed25519ph.md) + [crypto verify rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md) + [verificación criptográfica rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md) El comando **crypto verify** compara un archivo firmado con un archivo de origen y analiza si están relacionados criptográficamente en función de una clave pública y un mecanismo de firma determinados. **nota** Se puede iniciar sesión en los archivos AWS CloudHSM con la [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md) operación. # Verifique una firma que se hizo con el mecanismo ECDSA en la CLI de CloudHSM Use el comando **crypto verify ecdsa** de la CLI de CloudHSM para realizar las siguientes operaciones: + Confirme que un archivo se haya firmado en el HSM con una clave pública determinada. + Verifique que la firma se haya generado mediante el mecanismo de firma ECDSA. + Compare un archivo firmado con un archivo de origen y determine si los dos están relacionados criptográficamente en función de una clave pública ecdsa y un mecanismo de firma determinados. + La función de verificación del ECDSA espera la firma en el formato `r||s` en el que los componentes r y s se concatenan como datos binarios sin procesar. Para usar el **crypto verify ecdsa** comando, primero debe tener una clave pública EC en su clúster. AWS CloudHSM Puede importar una clave pública EC mediante el comando [Importación de una clave en formato PEM con la CLI de CloudHSM](cloudhsm_cli-key-import-pem.md) con el atributo `verify` establecido en `true`. **nota** Puede generar una firma en la CLI de CloudHSM con subcomandos [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md). ## Tipo de usuario Los tipos de usuarios siguientes pueden ejecutar este comando. + Usuarios criptográficos (CUs) ## Requisitos + Para ejecutar este comando, debe iniciar sesión como CU. ## Sintaxis ``` aws-cloudhsm > help crypto verify ecdsa Verify with the ECDSA mechanism Usage: crypto verify ecdsa --key-filter [...] --hash-function <--data-path |--data > <--signature-path |--signature > Options: --cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key --hash-function [possible values: sha1, sha224, sha256, sha384, sha512] --data-path The path to the file containing the data to be verified --data Base64 encoded data to be verified --signature-path The path to where the signature is located --signature Base64 encoded signature to be verified --data-type The type of data passed in, either raw or digest [possible values: raw, digest] -h, --help Print help ``` ## Ejemplo En estos ejemplos, se muestra cómo usar **crypto verify ecdsa** para verificar que una firma se haya generado mediante el mecanismo de firma ECDSA y la función hash `SHA256`. Este comando usa una clave pública en el HSM. **Example Ejemplo: verifique una firma codificada en Base64 con datos codificados en Base64** ``` aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data YWJjMTIz --signature 4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw== { "error_code": 0, "data": { "message": "Signature verified successfully" } } ``` **Example Ejemplo: verifique un archivo de firma con un archivo de datos** ``` aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data-path data.txt --signature-path signature-file { "error_code": 0, "data": { "message": "Signature verified successfully" } } ``` **Example Ejemplo: demostrar una relación de firma falsa** Este comando comprueba si los datos ubicados en `/home/data` se firmaron mediante una clave pública con la etiqueta `ecdsa-public` usando el mecanismo de firma ECDSA para generar la firma ubicada en `/home/signature`. Dado que los argumentos especificados no constituyen una relación de firma verdadera, el comando devuelve un mensaje de error. ``` aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data aW52YWxpZA== --signature +ogk7M7S3iTqFg3SndJfd91dZFr5Qo6YixJl8JwcvqqVgsVuO6o+VKvTRjz0/V05kf3JJbBLr87Q+wLWcMAJfA== { "error_code": 1, "data": "Signature verification failed" } ``` ## Argumentos ****** El ID del clúster en el que se va a ejecutar esta operación. Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres. ****** Datos codificados en Base64 para firmarse. Obligatorio: Sí (a menos que se proporcione por la ruta de datos) ****** Especifica la ubicación de los datos que se deben firmar. Obligatorio: Sí (a menos que se proporcione por la ruta de datos) ****** Especifica la función hash. Valores válidos: + sha1 + sha224 + sha256 + sha384 + sha512 Obligatorio: sí ****** Referencia clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave coincidente. Para obtener una lista de los atributos clave de la CLI de CloudHSM que son compatibles, consulte Atributos clave para la CLI de CloudHSM. Obligatorio: sí ****** Firma codificada en Base64. Obligatorio: Sí (a menos que se proporcione por la ruta de firmas) ****** Especifica la ubicación de la firma. Obligatorio: Sí (a menos que se proporcione por la ruta de firmas) ****** Especifica si el valor del parámetro de datos debe someterse a hash como parte del algoritmo de firma. Use `raw` para datos sin aplicar hash; use `digest` para resúmenes, que ya están sometidos a hash. Valores válidos: + raw + resumen ## Temas relacionados + [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md) + [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md) # Verificar una firma firmada con el mecanismo HashEd DSA en la CLI de CloudHSM **importante** HashEdLas operaciones de verificación de firmas del DSA solo se admiten en las instancias hsm2m.medium en modo que no sea FIPS. Use el comando **crypto verify ed25519ph** de la CLI de CloudHSM para realizar las siguientes operaciones: + Verifique las firmas de los datos o archivos con una clave pública Ed25519 determinada. + Confirme que la firma se generó mediante el mecanismo de firma de la HashEd DSA. Para obtener información adicional sobre la HashEd DSA, consulte la sección 7.8 del [NIST SP 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf). Para usar el **crypto verify ed25519ph** comando, primero debe tener una clave pública Ed25519 en su clúster. AWS CloudHSM Puede generar un par de claves Ed25519 mediante el [Generación de un par de claves EC asimétricas con la CLI de CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) comando con el `curve` parámetro establecido en `ed25519` y el `verify` atributo establecido en`true`, o importar una clave pública Ed25519 mediante el [Importación de una clave en formato PEM con la CLI de CloudHSM](cloudhsm_cli-key-import-pem.md) comando con el `verify` atributo establecido en. `true` **nota** Puede generar una firma en la CLI de CloudHSM con subcomandos [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md). ## Tipo de usuario Los tipos de usuarios siguientes pueden ejecutar este comando. + Usuarios criptográficos () CUs ## Requisitos + Para ejecutar este comando, debe iniciar sesión como CU. + HashEdLas operaciones de verificación de firmas de DSA solo se admiten en las instancias hsm2m.medium en modo que no sea FIPS. ## Sintaxis ``` aws-cloudhsm > help crypto verify ed25519ph Verify with the Ed25519ph mechanism Usage: crypto verify ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data > <--signature-path |--signature > Options: --cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key --data-path The path to the file containing the data to be verified --data Base64 encoded data to be verified --signature-path The path to where the signature is located --signature Base64 encoded signature to be verified --data-type The type of data passed in, either raw or digest [possible values: raw, digest] --hash-function Hash function [possible values: sha512] -h, --help Print help ``` ## Ejemplo Estos ejemplos muestran cómo verificar una firma que se generó **crypto verify ed25519ph** mediante el mecanismo de firma ED25519ph y la función hash. `sha512` Este comando usa una clave pública Ed25519 en el HSM. **Example Ejemplo: verifique una firma codificada en Base64 con datos codificados en Base64** ``` aws-cloudhsm > crypto verify ed25519ph \ --hash-function sha512 \ --key-filter attr.label=ed25519-public \ --data-type raw \ --data YWJj \ --signature mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg== { "error_code": 0, "data": { "message": "Signature verified successfully" } } ``` **Example Ejemplo: verifique un archivo de firma con un archivo de datos** ``` aws-cloudhsm > crypto verify ed25519ph \ --hash-function sha512 \ --key-filter attr.label=ed25519-public \ --data-type raw \ --data-path data.txt \ --signature-path signature-file { "error_code": 0, "data": { "message": "Signature verified successfully" } } ``` ## Argumentos ****** El ID del clúster en el que se va a ejecutar esta operación. Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres. ****** Datos codificados en Base64 que se van a verificar. Obligatorio: Sí (a menos que se proporcione por la ruta de datos) ****** Especifica la ubicación de los datos que se van a verificar. Obligatorio: Sí (a menos que se proporcione a través del parámetro de datos) ****** Especifica la función hash. Solo es compatible con ED25519ph. SHA512 Valores válidos: + sha512 Obligatorio: sí ****** Referencia clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave coincidente. Para obtener una lista de los atributos clave de la CLI de CloudHSM compatibles, consulte. [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md) Obligatorio: sí ****** Firma codificada en Base64. Obligatorio: Sí (a menos que se proporcione por la ruta de firmas) ****** Especifica la ubicación de la firma. Obligatorio: Sí (a menos que se proporcione a través del parámetro de firma) ****** Especifica si el valor del parámetro de datos debe codificarse como parte del algoritmo de verificación. Use `raw` para datos sin aplicar hash; use `digest` para resúmenes, que ya están sometidos a hash. Valores válidos: + raw + resumen Obligatorio: sí ## Temas relacionados + [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md) + [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md) + [Genere una firma con el mecanismo HashEd DSA en CloudHSM CLI](cloudhsm_cli-crypto-sign-ed25519ph.md) # Verifique una firma que se hizo con el mecanismo RSA-PKCS en la CLI de CloudHSM Use el comando **crypto verify rsa-pkcs** de la CLI de CloudHSM para realizar las siguientes operaciones: + Confirme que un archivo se haya firmado en el HSM con una clave pública determinada. + Verifique que la firma se haya generado mediante el mecanismo de firma `RSA-PKCS`. + Compare un archivo firmado con un archivo de origen y determine si los dos están relacionados criptográficamente en función de una clave pública rsa y un mecanismo de firma determinados. Para usar el **crypto verify rsa-pkcs** comando, primero debe tener una clave pública RSA en su AWS CloudHSM clúster. **nota** Puede generar una firma usando la CLI de CloudHSM con los subcomandos [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md). ## Tipo de usuario Los tipos de usuarios siguientes pueden ejecutar este comando. + Usuarios criptográficos () CUs ## Requisitos + Para ejecutar este comando, debe iniciar sesión como CU. ## Sintaxis ``` aws-cloudhsm > help crypto verify rsa-pkcs Verify with the RSA-PKCS mechanism Usage: crypto verify rsa-pkcs --key-filter [...] --hash-function <--data-path |--data > <--signature-path |--signature > Options: --cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key --hash-function [possible values: sha1, sha224, sha256, sha384, sha512] --data-path The path to the file containing the data to be verified --data Base64 encoded data to be verified --signature-path The path to where the signature is located --signature Base64 encoded signature to be verified --data-type The type of data passed in, either raw or digest [possible values: raw, digest] -h, --help Print help ``` ## Ejemplo En estos ejemplos, se muestra cómo usar **crypto verify rsa-pkcs** para verificar una firma que se haya generado mediante el mecanismo de firma RSA-PKCS y la función hash `SHA256`. Este comando usa una clave pública en el HSM. **Example Ejemplo: verifique una firma codificada en Base64 con datos codificados en Base64** ``` aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data YWJjMTIz --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ== { "error_code": 0, "data": { "message": "Signature verified successfully" } } ``` **Example Ejemplo: verifique un archivo de firma con un archivo de datos** ``` aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data-path data.txt --signature-path signature-file { "error_code": 0, "data": { "message": "Signature verified successfully" } } ``` **Example Ejemplo: demostrar una relación de firma falsa** Este comando comprueba si los datos inválidos se firmaron mediante una clave pública con la etiqueta `rsa-public` usando el mecanismo de firma RSA-PKCS para generar la firma ubicada en `/home/signature`. Dado que los argumentos especificados no constituyen una relación de firma verdadera, el comando devuelve un mensaje de error. ``` aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data aW52YWxpZA== --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ== { "error_code": 1, "data": "Signature verification failed" } ``` ## Argumentos ****** El ID del clúster en el que se va a ejecutar esta operación. Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres. ****** Datos codificados en Base64 para firmarse. Obligatorio: Sí (a menos que se proporcione por la ruta de datos) ****** Especifica la ubicación de los datos que se deben firmar. Obligatorio: Sí (a menos que se proporcione por la ruta de datos) ****** Especifica la función hash. Valores válidos: + sha1 + sha224 + sha256 + sha384 + sha512 Obligatorio: sí ****** Referencia clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave coincidente. Para obtener una lista de los atributos clave de la CLI de CloudHSM que son compatibles, consulte Atributos clave para la CLI de CloudHSM. Obligatorio: sí ****** Firma codificada en Base64. Obligatorio: Sí (a menos que se proporcione por la ruta de firmas) ****** Especifica la ubicación de la firma. Obligatorio: Sí (a menos que se proporcione por la ruta de firmas) ****** Especifica si el valor del parámetro de datos debe someterse a hash como parte del algoritmo de firma. Use `raw` para datos sin aplicar hash; use `digest` para resúmenes, que ya están sometidos a hash. En el caso de RSA-PKCS, los datos se deben pasar en formato codificado DER, según se especifica en la [Sección 9.2 del RFC 8017.](https://www.rfc-editor.org/rfc/rfc8017#section-9.2) Valores válidos: + raw + resumen ## Temas relacionados + [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md) + [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md) # Verificar una firma firmada con el RSA-PKCS-PSS mecanismo en la CLI de CloudHSM Use el comando **crypto sign rsa-pkcs-pss** de la CLI de CloudHSM para realizar las siguientes operaciones. + Confirme que un archivo se haya firmado en el HSM con una clave pública determinada. + Verifique que la firma se haya generado mediante el mecanismo de firma RSA-PKCS-PSS. + Compare un archivo firmado con un archivo de origen y determine si los dos están relacionados criptográficamente en función de una clave pública rsa y un mecanismo de firma determinados. Para usar el **crypto verify rsa-pkcs-pss** comando, primero debe tener una clave pública RSA en su clúster. AWS CloudHSM Puede importar una clave pública RSA mediante el comando key import pem (AGREGAR ENLACE DESEMPAQUETADO AQUÍ) con el atributo `verify` establecido en `true`. **nota** Puede generar una firma usando la CLI de CloudHSM con los subcomandos [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md). ## Tipo de usuario Los tipos de usuarios siguientes pueden ejecutar este comando. + Usuarios criptográficos () CUs ## Requisitos + Para ejecutar este comando, debe iniciar sesión como CU. ## Sintaxis ``` aws-cloudhsm > help crypto verify rsa-pkcs-pss Verify with the RSA-PKCS-PSS mechanism Usage: crypto verify rsa-pkcs-pss --key-filter [...] --hash-function --mgf --salt-length >SALT_LENGTH< <--data-path |--data <--signature-path |--signature > Options: --cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key --hash-function [possible values: sha1, sha224, sha256, sha384, sha512] --data-path The path to the file containing the data to be verified --data Base64 encoded data to be verified --signature-path The path to where the signature is located --signature Base64 encoded signature to be verified --data-type The type of data passed in, either raw or digest [possible values: raw, digest] --mgf The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512] --salt-length The salt length -h, --help Print help ``` ## Ejemplo Estos ejemplos muestran cómo **crypto verify rsa-pkcs-pss** verificar una firma que se generó mediante el mecanismo de RSA-PKCS-PSS firma y la función `SHA256` hash. Este comando usa una clave pública en el HSM. **Example Ejemplo: verifique una firma codificada en Base64 con datos codificados en Base64** ``` aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg== { "error_code": 0, "data": { "message": "Signature verified successfully" } } ``` **Example Ejemplo: verifique un archivo de firma con un archivo de datos** ``` aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256 --signature signature-file { "error_code": 0, "data": { "message": "Signature verified successfully" } } ``` **Example Ejemplo: demostrar una relación de firma falsa** Este comando comprueba si los datos inválidos se firmaron mediante una clave pública con la etiqueta `rsa-public` usando el mecanismo de firma RSA-PKCS-PSS para generar la firma ubicada en `/home/signature`. Dado que los argumentos especificados no constituyen una relación de firma verdadera, el comando devuelve un mensaje de error. ``` aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data aW52YWxpZA== --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg== { "error_code": 1, "data": "Signature verification failed" } ``` ## Argumentos ****** El ID del clúster en el que se va a ejecutar esta operación. Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres. ****** Datos codificados en Base64 para firmarse. Obligatorio: Sí (a menos que se proporcione por la ruta de datos) ****** Especifica la ubicación de los datos que se deben firmar. Obligatorio: Sí (a menos que se proporcione por la ruta de datos) ****** Especifica la función hash. Valores válidos: + sha1 + sha224 + sha256 + sha384 + sha512 Obligatorio: sí ****** Referencia clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave coincidente. Para obtener una lista de los atributos clave de la CLI de CloudHSM que son compatibles, consulte Atributos clave para la CLI de CloudHSM. Obligatorio: sí ****** Especifica la función de generación de máscaras. La función hash de la función de generación de máscaras debe coincidir con la función hash del mecanismo de firma. Valores válidos: + mgf1-sha1 + mgf1-sha224 + mgf1-sha256 + mgf1-sha384 + mgf1-sha512 Obligatorio: sí ****** Firma codificada en Base64. Obligatorio: Sí (a menos que se proporcione por la ruta de firmas) ****** Especifica la ubicación de la firma. Obligatorio: Sí (a menos que se proporcione por la ruta de firmas) ****** Especifica si el valor del parámetro de datos debe someterse a hash como parte del algoritmo de firma. Use `raw` para datos sin aplicar hash; use `digest` para resúmenes, que ya están sometidos a hash. Valores válidos: + raw + resumen ## Temas relacionados + [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md) + [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md)