Génération d'une signature à l'aide du mécanisme HashEd DSA dans la CLI CloudHSM - AWS CloudHSM
Type utilisateurExigencesSyntaxeExempleArgumentsRubriques en relation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Génération d'une signature à l'aide du mécanisme HashEd DSA dans la CLI CloudHSM

Important

HashEdLes opérations de signature DSA ne sont prises en charge que sur les instances hsm2m.medium en mode non FIPS.

Utilisez la crypto sign ed25519ph commande de la CLI CloudHSM pour générer une signature à l'aide d'une clé privée Ed25519 et du mécanisme de signature DSA. HashEd Pour plus d'informations sur le HashEd DSA, voir le NIST SP 186-5, section 7.8.

Pour utiliser la crypto sign ed25519ph commande, vous devez d'abord disposer d'une clé privée Ed25519 dans votre cluster. AWS CloudHSM Vous pouvez générer une clé privée Ed25519 à l'aide de la Génération d'une paire de clés EC asymétriques à l'aide de la CLI CloudHSM commande avec le curve paramètre défini sur ed25519 et l'signattribut défini sur. true

Note

Les signatures peuvent être vérifiées à l' AWS CloudHSM aide de La catégorie de vérification cryptographique dans la CLI CloudHSM sous-commandes.

Type utilisateur

Les types d'utilisateur suivants peuvent exécuter cette commande.

  • Utilisateurs de cryptomonnaies (CUs)

Exigences

  • Pour exécuter cette commande, vous devez être connecté en tant que CU.

  • HashEdLes opérations de signature DSA ne sont prises en charge que sur les instances hsm2m.medium en mode non FIPS.

Syntaxe

aws-cloudhsm > help crypto sign ed25519ph
Sign with the Ed25519ph mechanism

Usage: crypto sign ed25519ph [OPTIONS] --key-filter [<KEY_FILTER>...] --data-type <DATA_TYPE> --hash-function <HASH_FUNCTION> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --key-filter [<KEY_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
      --data-path <DATA_PATH>
          The path to the file containing the data to be signed
      --data <DATA>
          Base64 Encoded data to be signed
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
      --data-type <DATA_TYPE>
          The type of data passed in, either raw or digest [possible values: raw, digest]
      --hash-function <HASH_FUNCTION>
          Hash function [possible values: sha512]
  -h, --help
          Print help

Exemple

Ces exemples montrent comment générer une signature crypto sign ed25519ph à l'aide du mécanisme de signature et de la fonction de hachage ED25519ph. sha512 Cette commande utilise une clé privée dans le HSM.

Exemple Exemple : génération d'une signature pour les données codées en base 64
aws-cloudhsm > crypto sign ed25519ph \
    --key-filter attr.label=ed25519-private \
    --data-type raw \
    --hash-function sha512 \
    --data YWJj
{
  "error_code": 0,
  "data": {
    "key-reference": "0x0000000000401cdf",
    "signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
  }
}
Exemple Exemple : génération d'une signature pour un fichier de données
aws-cloudhsm > crypto sign ed25519ph \
    --key-filter attr.label=ed25519-private \
    --data-type raw \
    --hash-function sha512 \
    --data-path data.txt
{
  "error_code": 0,
  "data": {
    "key-reference": "0x0000000000401cdf",
    "signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
  }
}

Arguments

<CLUSTER_ID>

ID du cluster sur lequel exécuter cette opération.

Obligatoire : si plusieurs clusters ont été configurés.

<DATA>

Données codées en Base64 à signer.

Obligatoire : Oui (sauf indication contraire via le chemin de données)

<DATA_PATH>

Spécifie l'emplacement des données à signer.

Obligatoire : Oui (sauf indication contraire dans le paramètre de données)

<HASH_FUNCTION>

Spécifie la fonction de hachage. ED25519ph ne prend en charge que. SHA512

Valeurs valides :

  • sha512

Obligatoire : oui

<KEY_FILTER>

Référence clé (par exemple,key-reference=0xabc) ou liste séparée par des espaces d'attributs clés sous la forme attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE pour sélectionner une clé correspondante.

Pour obtenir la liste des attributs clés de la CLI CloudHSM pris en charge, consultez. Attributs de clé de la CLI CloudHSM

Obligatoire : oui

<APPROVAL>

Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur du quorum du service d'utilisation des clés de la clé privée est supérieure à 1.

<DATA_TYPE>

Spécifie si la valeur du paramètre de données doit être hachée dans le cadre de l'algorithme de signature. rawÀ utiliser pour les données non hachées ; à utiliser digest pour les résumés déjà hachés.

Valeurs valides :

  • raw

  • digérer

Obligatoire : oui

Rubriques en relation