Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# La catégorie cryptographique dans la CLI CloudHSM
Dans la **crypto** CLI CloudHSM, il s'agit d'une catégorie parent pour un groupe de commandes qui, lorsqu'elles sont combinées avec la catégorie parent, créent une commande spécifique aux opérations cryptographiques. Actuellement, cette catégorie comprend les commandes suivantes :
+ [sign](cloudhsm_cli-crypto-sign.md)
+ [ecdsa](cloudhsm_cli-crypto-sign-ecdsa.md)
+ [ed25519ph](cloudhsm_cli-crypto-sign-ed25519ph.md)
+ [rsa-pkcs](cloudhsm_cli-crypto-sign-rsa-pkcs.md)
+ [rsa-pkcs-pss](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md)
+ [vérifier](cloudhsm_cli-crypto-verify.md)
+ [ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md)
+ [ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md)
+ [rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md)
+ [rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md)
# La catégorie de signes cryptographiques dans la CLI CloudHSM
Dans la **crypto sign** CLI CloudHSM, il s'agit d'une catégorie parent pour un groupe de commandes qui, lorsqu'il est combiné à la catégorie parent, utilise une clé privée choisie AWS CloudHSM dans votre cluster pour générer une signature. **crypto sign**comporte les sous-commandes suivantes :
+ [Génération d'une signature à l'aide du mécanisme ECDSA dans la CLI CloudHSM](cloudhsm_cli-crypto-sign-ecdsa.md)
+ [Génération d'une signature à l'aide du mécanisme HashEd DSA dans la CLI CloudHSM](cloudhsm_cli-crypto-sign-ed25519ph.md)
+ [Génération d'une signature à l'aide du mécanisme RSA-PKCS dans la CLI CloudHSM](cloudhsm_cli-crypto-sign-rsa-pkcs.md)
+ [Générez une signature avec le RSA-PKCS-PSS mécanisme de la CLI CloudHSM](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md)
Pour l'utiliser**crypto sign**, vous devez disposer d'une clé privée dans votre HSM. Vous pouvez générer une clé privée à l'aide des commandes suivantes :
+ [clé generate-asymmetric-pair ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [clé generate-asymmetric-pair RSA](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
# Génération d'une signature à l'aide du mécanisme ECDSA dans la CLI CloudHSM
Utilisez la **crypto sign ecdsa** commande de la CLI CloudHSM pour générer une signature à l'aide d'une clé privée EC et du mécanisme de signature ECDSA.
Pour utiliser la **crypto sign ecdsa** commande, vous devez d'abord disposer d'une clé privée EC dans votre AWS CloudHSM cluster. Vous pouvez générer une clé privée EC à l'aide de la [Génération d'une paire de clés EC asymétriques à l'aide de la CLI CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) commande dont l'`sign`attribut est défini sur`true`.
La signature ECDSA résultante est générée dans le format `r||s` dans lequel les composants r et s sont concaténés sous forme de données binaires brutes et renvoyés au format codé base64.
**Note**
Les signatures peuvent être vérifiées à l' AWS CloudHSM aide de [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md) sous-commandes.
## Type utilisateur
Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)
## Exigences
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.
## Syntaxe
```
aws-cloudhsm > help crypto sign ecdsa
Sign with the ECDSA mechanism
Usage: crypto sign ecdsa --key-filter [>...] --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Exemple
Ces exemples montrent comment générer une signature **crypto sign ecdsa** à l'aide du mécanisme de signature et de la fonction de `SHA256` hachage ECDSA. Cette commande utilise une clé privée dans le HSM.
**Example Exemple : génération d'une signature pour les données codées en base 64**
```
aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data YWJjMTIz
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007808dd",
"signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw=="
}
}
```
**Example Exemple : génération d'une signature pour un fichier de données**
```
aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007808dd",
"signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw=="
}
}
```
## Arguments
******
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)
******
Données codées en Base64 à signer.
Obligatoire : Oui (sauf indication contraire via le chemin de données)
******
Spécifie l'emplacement des données à signer.
Obligatoire : Oui (sauf indication contraire via le chemin de données)
******
Spécifie la fonction de hachage.
Valeurs valides :
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obligatoire : oui
******
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme attr.KEY\$1ATTRIBUTE\$1NAME=KEY\$1ATTRIBUTE\$1VALUE pour sélectionner une clé correspondante.
Pour obtenir la liste des attributs clés de la CLI CloudHSM pris en charge, consultez la section Attributs clés de la CLI CloudHSM.
Obligatoire : oui
******
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur du quorum du service d'utilisation des clés de la clé privée est supérieure à 1.
******
Spécifie si la valeur du paramètre de données doit être hachée dans le cadre de l'algorithme de signature. `raw`À utiliser pour les données non hachées ; à utiliser `digest` pour les résumés déjà hachés.
Valeurs valides :
+ raw
+ digérer
## Rubriques en relation
+ [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md)
# Génération d'une signature à l'aide du mécanisme HashEd DSA dans la CLI CloudHSM
**Important**
HashEdLes opérations de signature DSA ne sont prises en charge que sur les instances hsm2m.medium en mode non FIPS.
Utilisez la **crypto sign ed25519ph** commande de la CLI CloudHSM pour générer une signature à l'aide d'une clé privée Ed25519 et du mécanisme de signature DSA. HashEd Pour plus d'informations sur le HashEd DSA, voir le [NIST SP 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf), section 7.8.
Pour utiliser la **crypto sign ed25519ph** commande, vous devez d'abord disposer d'une clé privée Ed25519 dans votre cluster. AWS CloudHSM Vous pouvez générer une clé privée Ed25519 à l'aide de la [Génération d'une paire de clés EC asymétriques à l'aide de la CLI CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) commande avec le `curve` paramètre défini sur `ed25519` et l'`sign`attribut défini sur. `true`
**Note**
Les signatures peuvent être vérifiées à l' AWS CloudHSM aide de [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md) sous-commandes.
## Type utilisateur
Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)
## Exigences
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.
+ HashEdLes opérations de signature DSA ne sont prises en charge que sur les instances hsm2m.medium en mode non FIPS.
## Syntaxe
```
aws-cloudhsm > help crypto sign ed25519ph
Sign with the Ed25519ph mechanism
Usage: crypto sign ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--hash-function
Hash function [possible values: sha512]
-h, --help
Print help
```
## Exemple
Ces exemples montrent comment générer une signature **crypto sign ed25519ph** à l'aide du mécanisme de signature et de la fonction de hachage ED25519ph. `sha512` Cette commande utilise une clé privée dans le HSM.
**Example Exemple : génération d'une signature pour les données codées en base 64**
```
aws-cloudhsm > crypto sign ed25519ph \
--key-filter attr.label=ed25519-private \
--data-type raw \
--hash-function sha512 \
--data YWJj
{
"error_code": 0,
"data": {
"key-reference": "0x0000000000401cdf",
"signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
}
}
```
**Example Exemple : génération d'une signature pour un fichier de données**
```
aws-cloudhsm > crypto sign ed25519ph \
--key-filter attr.label=ed25519-private \
--data-type raw \
--hash-function sha512 \
--data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x0000000000401cdf",
"signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
}
}
```
## Arguments
******
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)
******
Données codées en Base64 à signer.
Obligatoire : Oui (sauf indication contraire via le chemin de données)
******
Spécifie l'emplacement des données à signer.
Obligatoire : Oui (sauf indication contraire dans le paramètre de données)
******
Spécifie la fonction de hachage. ED25519ph ne prend en charge que. SHA512
Valeurs valides :
+ sha512
Obligatoire : oui
******
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme attr.KEY\$1ATTRIBUTE\$1NAME=KEY\$1ATTRIBUTE\$1VALUE pour sélectionner une clé correspondante.
Pour obtenir la liste des attributs clés de la CLI CloudHSM pris en charge, consultez. [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)
Obligatoire : oui
******
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur du quorum du service d'utilisation des clés de la clé privée est supérieure à 1.
******
Spécifie si la valeur du paramètre de données doit être hachée dans le cadre de l'algorithme de signature. `raw`À utiliser pour les données non hachées ; à utiliser `digest` pour les résumés déjà hachés.
Valeurs valides :
+ raw
+ digérer
Obligatoire : oui
## Rubriques en relation
+ [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md)
# Génération d'une signature à l'aide du mécanisme RSA-PKCS dans la CLI CloudHSM
Utilisez la **crypto sign rsa-pkcs** commande de la CLI CloudHSM pour générer une signature à l'aide d'une clé privée RSA et du mécanisme de signature RSA-PKCS.
Pour utiliser la **crypto sign rsa-pkcs** commande, vous devez d'abord disposer d'une clé privée RSA dans votre AWS CloudHSM cluster. Vous pouvez générer une clé privée RSA à l'aide de la [Génération d'une paire de clés RSA asymétrique avec la CLI CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) commande dont l'`sign`attribut est défini sur. `true`
**Note**
Les signatures peuvent être vérifiées à l' AWS CloudHSM aide de [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md) sous-commandes.
## Type utilisateur
Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)
## Exigences
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.
## Syntaxe
```
aws-cloudhsm > help crypto sign rsa-pkcs
Sign with the RSA-PKCS mechanism
Usage: crypto sign rsa-pkcs --key-filter [>...] --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Exemple
Ces exemples montrent comment générer une signature **crypto sign rsa-pkcs** à l'aide du mécanisme de signature et `SHA256` de la fonction de hachage RSA-PKCS. Cette commande utilise une clé privée dans le HSM.
**Example Exemple : génération d'une signature pour les données codées en base 64**
```
aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ=="
}
}
```
**Example Exemple : génération d'une signature pour un fichier de données**
```
aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ=="
}
}
```
## Arguments
******
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)
******
Données codées en Base64 à signer.
Obligatoire : Oui (sauf indication contraire via le chemin de données)
******
Spécifie l'emplacement des données à signer.
Obligatoire : Oui (sauf indication contraire dans les données)
******
Spécifie la fonction de hachage.
Valeurs valides :
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obligatoire : oui
******
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé correspondante.
Pour obtenir la liste des attributs clés de la CLI CloudHSM pris en charge, consultez la section Attributs clés de la CLI CloudHSM.
Obligatoire : oui
******
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur du quorum du service d'utilisation des clés de la clé privée est supérieure à 1.
******
Spécifie si la valeur du paramètre de données doit être hachée dans le cadre de l'algorithme de signature. `raw`À utiliser pour les données non hachées ; à utiliser `digest` pour les résumés déjà hachés.
Pour RSA-PKCS, les données doivent être transmises au format codé DER comme spécifié dans la [RFC](https://www.rfc-editor.org/rfc/rfc8017#section-9.2) 8017, section 9.2
Valeurs valides :
+ raw
+ digérer
## Rubriques en relation
+ [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md)
# Générez une signature avec le RSA-PKCS-PSS mécanisme de la CLI CloudHSM
Utilisez la **crypto sign rsa-pkcs-pss** commande de la CLI CloudHSM pour générer une signature à l'aide d'une clé `RSA-PKCS-PSS` privée RSA et du mécanisme de signature.
Pour utiliser la **crypto sign rsa-pkcs-pss** commande, vous devez d'abord disposer d'une clé privée RSA dans votre AWS CloudHSM cluster. Vous pouvez générer une clé privée RSA à l'aide de la [Génération d'une paire de clés RSA asymétrique avec la CLI CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) commande dont l'`sign`attribut est défini sur. `true`
**Note**
Les signatures peuvent être vérifiées à l' AWS CloudHSM aide de [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md) sous-commandes.
## Type utilisateur
Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)
## Exigences
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.
## Syntaxe
```
aws-cloudhsm > help crypto sign rsa-pkcs-pss
Sign with the RSA-PKCS-PSS mechanism
Usage: crypto sign rsa-pkcs-pss [OPTIONS] --key-filter [...] --hash-function --mgf --salt-length <--data-path |--data >
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function [possible values: sha1, sha224, sha256, sha384, sha512]
--data-path The path to the file containing the data to be signed
--data Base64 Encoded data to be signed
--mgf The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
--salt-length The salt length
--approval Filepath of signed quorum token file to approve operation
--data-type The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help Print help
```
## Exemple
Ces exemples montrent comment générer une signature **crypto sign rsa-pkcs-pss** à l'aide du mécanisme de signature et de la `RSA-PKCS-PSS` fonction de `SHA256` hachage. Cette commande utilise une clé privée dans le HSM.
**Example Exemple : génération d'une signature pour les données codées en base 64**
```
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
}
}
```
**Example Exemple : générer une signature pour un fichier de données**
```
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
}
}
```
## Arguments
******
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)
******
Données codées en Base64 à signer.
Obligatoire : Oui (sauf indication contraire via le chemin de données)
******
Spécifie l'emplacement des données à signer.
Obligatoire : Oui (sauf indication contraire dans les données)
******
Spécifie la fonction de hachage.
Valeurs valides :
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obligatoire : oui
******
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé correspondante.
Pour obtenir la liste des attributs clés de la CLI CloudHSM pris en charge, consultez la section Attributs clés de la CLI CloudHSM.
Obligatoire : oui
******
Spécifie la fonction de génération de masques.
La fonction de hachage de la fonction de génération de masque doit correspondre à la fonction de hachage du mécanisme de signature.
Valeurs valides :
+ mgf1-sha1
+ mgf1-sha225
+ mgf1-sha255
+ mgf1-sha385
+ mgf1-sha512
Obligatoire : oui
******
Spécifie la longueur du sel.
Obligatoire : oui
******
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur du quorum du service d'utilisation des clés de la clé privée est supérieure à 1.
******
Spécifie si la valeur du paramètre de données doit être hachée dans le cadre de l'algorithme de signature. `raw`À utiliser pour les données non hachées ; à utiliser `digest` pour les résumés déjà hachés.
Valeurs valides :
+ raw
+ digérer
## Rubriques en relation
+ [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md)
## Rubriques en relation
+ [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md)
# La catégorie de vérification cryptographique dans la CLI CloudHSM
Dans la **crypto verify** CLI CloudHSM, il s'agit d'une catégorie parent pour un groupe de commandes qui, lorsqu'elle est combinée à la catégorie parent, confirme si un fichier a été signé par une clé donnée. **crypto verify**comporte les sous-commandes suivantes :
+ [Crypto Verify ECDSA](cloudhsm_cli-crypto-verify-ecdsa.md)
+ [vérification cryptographique ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md)
+ [Crypto Verify RSA-PKCS](cloudhsm_cli-crypto-verify-rsa-pkcs.md)
+ [vérification cryptographique rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md)
La **crypto verify** commande compare un fichier signé à un fichier source et analyse s'ils sont liés cryptographiquement en fonction d'une clé publique et d'un mécanisme de signature donnés.
**Note**
Les fichiers peuvent être connectés à l' AWS CloudHSM aide de [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md) cette opération.
# Vérifier une signature signée avec le mécanisme ECDSA dans la CLI CloudHSM
Utilisez la **crypto verify ecdsa** commande de la CLI CloudHSM pour effectuer les opérations suivantes :
+ Confirmez qu'un fichier a été signé dans le HSM à l'aide d'une clé publique donnée.
+ Vérifiez que la signature a été générée à l'aide du mécanisme de signature ECDSA.
+ Comparez un fichier signé à un fichier source et déterminez si les deux sont liés cryptographiquement en fonction d'une clé publique ecdsa et d'un mécanisme de signature donnés.
+ La fonction de vérification ECDSA attend la signature au format `r||s` dans lequel les composants r et s sont concaténés sous forme de données binaires brutes.
Pour utiliser la **crypto verify ecdsa** commande, vous devez d'abord disposer d'une clé publique EC dans votre AWS CloudHSM cluster. Vous pouvez importer une clé publique EC à l'aide de la [Importer une clé au format PEM avec la CLI CloudHSM](cloudhsm_cli-key-import-pem.md) commande dont l'`verify`attribut est défini sur`true`.
**Note**
Vous pouvez générer une signature dans la CLI [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md) CloudHSM à l'aide de sous-commandes.
## Type utilisateur
Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)
## Exigences
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.
## Syntaxe
```
aws-cloudhsm > help crypto verify ecdsa
Verify with the ECDSA mechanism
Usage: crypto verify ecdsa --key-filter [...] --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Exemple
Ces exemples montrent comment vérifier une signature générée **crypto verify ecdsa** à l'aide du mécanisme de signature et de la fonction de `SHA256` hachage ECDSA. Cette commande utilise une clé publique dans le HSM.
**Example Exemple : vérifier une signature codée en Base64 avec des données codées en Base64**
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data YWJjMTIz --signature 4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemple : vérifier un fichier de signature avec un fichier de données**
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data-path data.txt --signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemple : prouver une fausse relation de signature**
Cette commande vérifie si les données situées dans ont `/home/data` été signées par une clé publique avec l'étiquette `ecdsa-public` en utilisant le mécanisme de signature ECDSA pour produire la signature située dans. `/home/signature` Comme les arguments fournis ne constituent pas une véritable relation de signature, la commande renvoie un message d'erreur.
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data aW52YWxpZA== --signature +ogk7M7S3iTqFg3SndJfd91dZFr5Qo6YixJl8JwcvqqVgsVuO6o+VKvTRjz0/V05kf3JJbBLr87Q+wLWcMAJfA==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## Arguments
******
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)
******
Données codées en Base64 à signer.
Obligatoire : Oui (sauf indication contraire via le chemin de données)
******
Spécifie l'emplacement des données à signer.
Obligatoire : Oui (sauf indication contraire via le chemin de données)
******
Spécifie la fonction de hachage.
Valeurs valides :
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obligatoire : oui
******
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé correspondante.
Pour obtenir la liste des attributs clés de la CLI CloudHSM pris en charge, consultez la section Attributs clés de la CLI CloudHSM.
Obligatoire : oui
******
Signature codée en Base64.
Obligatoire : Oui (sauf indication contraire via le chemin de signature)
******
Spécifie l'emplacement de la signature.
Obligatoire : Oui (sauf indication contraire via le chemin de signature)
******
Spécifie si la valeur du paramètre de données doit être hachée dans le cadre de l'algorithme de signature. `raw`À utiliser pour les données non hachées ; à utiliser `digest` pour les résumés déjà hachés.
Valeurs valides :
+ raw
+ digérer
## Rubriques en relation
+ [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md)
# Vérifier une signature signée avec le mécanisme HashEd DSA dans la CLI CloudHSM
**Important**
HashEdLes opérations de vérification de signature DSA ne sont prises en charge que sur les instances hsm2m.medium en mode non FIPS.
Utilisez la **crypto verify ed25519ph** commande de la CLI CloudHSM pour effectuer les opérations suivantes :
+ Vérifiez les signatures des données ou des fichiers à l'aide d'une clé publique Ed25519 donnée.
+ Vérifiez que la signature a été générée à l'aide du mécanisme de signature HashEd DSA. Pour plus d'informations sur le HashEd DSA, voir le [NIST SP 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf), section 7.8.
Pour utiliser la **crypto verify ed25519ph** commande, vous devez d'abord disposer d'une clé publique Ed25519 dans votre cluster. AWS CloudHSM Vous pouvez générer une paire de clés Ed25519 à l'aide de la [Génération d'une paire de clés EC asymétriques à l'aide de la CLI CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) commande dont le `curve` paramètre est défini sur `ed25519` et l'`verify`attribut défini sur`true`, ou importer une clé publique Ed25519 à l'aide de la [Importer une clé au format PEM avec la CLI CloudHSM](cloudhsm_cli-key-import-pem.md) commande dont l'attribut est défini sur. `verify` `true`
**Note**
Vous pouvez générer une signature dans la CLI [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md) CloudHSM à l'aide de sous-commandes.
## Type utilisateur
Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)
## Exigences
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.
+ HashEdLes opérations de vérification de signature DSA ne sont prises en charge que sur les instances hsm2m.medium en mode non FIPS.
## Syntaxe
```
aws-cloudhsm > help crypto verify ed25519ph
Verify with the Ed25519ph mechanism
Usage: crypto verify ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--hash-function
Hash function [possible values: sha512]
-h, --help
Print help
```
## Exemple
Ces exemples montrent comment vérifier une signature générée **crypto verify ed25519ph** à l'aide du mécanisme de signature et de la fonction de hachage ED25519ph. `sha512` Cette commande utilise une clé publique Ed25519 dans le HSM.
**Example Exemple : vérifier une signature codée en Base64 avec des données codées en Base64**
```
aws-cloudhsm > crypto verify ed25519ph \
--hash-function sha512 \
--key-filter attr.label=ed25519-public \
--data-type raw \
--data YWJj \
--signature mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemple : vérifier un fichier de signature avec un fichier de données**
```
aws-cloudhsm > crypto verify ed25519ph \
--hash-function sha512 \
--key-filter attr.label=ed25519-public \
--data-type raw \
--data-path data.txt \
--signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
## Arguments
******
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)
******
Données codées en Base64 à vérifier.
Obligatoire : Oui (sauf indication contraire via le chemin de données)
******
Spécifie l'emplacement des données à vérifier.
Obligatoire : Oui (sauf indication contraire dans le paramètre de données)
******
Spécifie la fonction de hachage. ED25519ph ne prend en charge que. SHA512
Valeurs valides :
+ sha512
Obligatoire : oui
******
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé correspondante.
Pour obtenir la liste des attributs clés de la CLI CloudHSM pris en charge, consultez. [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)
Obligatoire : oui
******
Signature codée en Base64.
Obligatoire : Oui (sauf indication contraire via le chemin de signature)
******
Spécifie l'emplacement de la signature.
Obligatoire : Oui (sauf indication contraire dans le paramètre de signature)
******
Spécifie si la valeur du paramètre de données doit être hachée dans le cadre de l'algorithme de vérification. `raw`À utiliser pour les données non hachées ; à utiliser `digest` pour les résumés déjà hachés.
Valeurs valides :
+ raw
+ digérer
Obligatoire : oui
## Rubriques en relation
+ [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md)
+ [Génération d'une signature à l'aide du mécanisme HashEd DSA dans la CLI CloudHSM](cloudhsm_cli-crypto-sign-ed25519ph.md)
# Vérifier une signature signée avec le mécanisme RSA-PKCS dans la CLI CloudHSM
Utilisez la **crypto verify rsa-pkcs** commande dans la CLI CloudHSM pour effectuer les opérations suivantes :
+ Confirmez qu'un fichier a été signé dans le HSM à l'aide d'une clé publique donnée.
+ Vérifiez que la signature a été générée à l'aide du mécanisme de `RSA-PKCS` signature.
+ Comparez un fichier signé à un fichier source et déterminez si les deux sont liés cryptographiquement en fonction d'une clé publique RSA et d'un mécanisme de signature donnés.
Pour utiliser la **crypto verify rsa-pkcs** commande, vous devez d'abord disposer d'une clé publique RSA dans votre AWS CloudHSM cluster.
**Note**
Vous pouvez générer une signature à l'aide de la [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md) CLI CloudHSM avec les sous-commandes.
## Type utilisateur
Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)
## Exigences
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.
## Syntaxe
```
aws-cloudhsm > help crypto verify rsa-pkcs
Verify with the RSA-PKCS mechanism
Usage: crypto verify rsa-pkcs --key-filter [...] --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Exemple
Ces exemples montrent comment vérifier une signature générée **crypto verify rsa-pkcs** à l'aide du mécanisme de signature et `SHA256` de la fonction de hachage RSA-PKCS. Cette commande utilise une clé publique dans le HSM.
**Example Exemple : vérifier une signature codée en Base64 avec des données codées en Base64**
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data YWJjMTIz --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemple : vérifier un fichier de signature avec un fichier de données**
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data-path data.txt --signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemple : prouver une fausse relation de signature**
Cette commande vérifie si les données non valides ont été signées par une clé publique avec l'étiquette `rsa-public` en utilisant le mécanisme de signature RSAPKCS pour produire la signature située dans. `/home/signature` Comme les arguments fournis ne constituent pas une véritable relation de signature, la commande renvoie un message d'erreur.
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data aW52YWxpZA== --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## Arguments
******
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)
******
Données codées en Base64 à signer.
Obligatoire : Oui (sauf indication contraire via le chemin de données)
******
Spécifie l'emplacement des données à signer.
Obligatoire : Oui (sauf indication contraire via le chemin de données)
******
Spécifie la fonction de hachage.
Valeurs valides :
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obligatoire : oui
******
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé correspondante.
Pour obtenir la liste des attributs clés de la CLI CloudHSM pris en charge, consultez la section Attributs clés de la CLI CloudHSM.
Obligatoire : oui
******
Signature codée en Base64.
Obligatoire : Oui (sauf indication contraire via le chemin de signature)
******
Spécifie l'emplacement de la signature.
Obligatoire : Oui (sauf indication contraire via le chemin de signature)
******
Spécifie si la valeur du paramètre de données doit être hachée dans le cadre de l'algorithme de signature. `raw`À utiliser pour les données non hachées ; à utiliser `digest` pour les résumés déjà hachés.
Pour RSA-PKCS, les données doivent être transmises au format codé DER comme spécifié dans la [RFC](https://www.rfc-editor.org/rfc/rfc8017#section-9.2) 8017, section 9.2
Valeurs valides :
+ raw
+ digérer
## Rubriques en relation
+ [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md)
# Vérifier une signature signée avec le RSA-PKCS-PSS mécanisme dans la CLI CloudHSM
Utilisez la **crypto sign rsa-pkcs-pss** commande de la CLI CloudHSM pour effectuer les opérations suivantes.
+ Confirmez qu'un fichier a été signé dans le HSM à l'aide d'une clé publique donnée.
+ Vérifiez que la signature a été générée à l'aide du mécanisme de RSA-PKCS-PSS signature.
+ Comparez un fichier signé à un fichier source et déterminez si les deux sont liés cryptographiquement en fonction d'une clé publique RSA et d'un mécanisme de signature donnés.
Pour utiliser la **crypto verify rsa-pkcs-pss** commande, vous devez d'abord disposer d'une clé publique RSA dans votre AWS CloudHSM cluster. Vous pouvez importer une clé publique RSA à l'aide de la commande key import pem (ADD UNWRAP LINK HERE) avec l'`verify`attribut défini sur. `true`
**Note**
Vous pouvez générer une signature à l'aide de la [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md) CLI CloudHSM avec les sous-commandes.
## Type utilisateur
Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)
## Exigences
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.
## Syntaxe
```
aws-cloudhsm > help crypto verify rsa-pkcs-pss
Verify with the RSA-PKCS-PSS mechanism
Usage: crypto verify rsa-pkcs-pss --key-filter [...] --hash-function --mgf --salt-length >SALT_LENGTH< <--data-path |--data <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--mgf
The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
--salt-length
The salt length
-h, --help
Print help
```
## Exemple
Ces exemples montrent comment vérifier une signature générée **crypto verify rsa-pkcs-pss** à l'aide du mécanisme de RSA-PKCS-PSS signature et de la fonction de `SHA256` hachage. Cette commande utilise une clé publique dans le HSM.
**Example Exemple : vérifier une signature codée en Base64 avec des données codées en Base64**
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemple : vérifier un fichier de signature avec un fichier de données**
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256 --signature signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemple : prouver une fausse relation de signature**
Cette commande vérifie si les données non valides ont été signées par une clé publique avec l'étiquette `rsa-public` en utilisant le mécanisme de signature RSAPKCSPSS pour produire la signature située dans. `/home/signature` Comme les arguments fournis ne constituent pas une véritable relation de signature, la commande renvoie un message d'erreur.
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data aW52YWxpZA== --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## Arguments
******
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)
******
Données codées en Base64 à signer.
Obligatoire : Oui (sauf indication contraire via le chemin de données)
******
Spécifie l'emplacement des données à signer.
Obligatoire : Oui (sauf indication contraire via le chemin de données)
******
Spécifie la fonction de hachage.
Valeurs valides :
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obligatoire : oui
******
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé correspondante.
Pour obtenir la liste des attributs clés de la CLI CloudHSM pris en charge, consultez la section Attributs clés de la CLI CloudHSM.
Obligatoire : oui
******
Spécifie la fonction de génération de masques.
La fonction de hachage de la fonction de génération de masque doit correspondre à la fonction de hachage du mécanisme de signature.
Valeurs valides :
+ mgf1-sha1
+ mgf1-sha225
+ mgf1-sha255
+ mgf1-sha385
+ mgf1-sha512
Obligatoire : oui
******
Signature codée en Base64.
Obligatoire : Oui (sauf indication contraire via le chemin de signature)
******
Spécifie l'emplacement de la signature.
Obligatoire : Oui (sauf indication contraire via le chemin de signature)
******
Spécifie si la valeur du paramètre de données doit être hachée dans le cadre de l'algorithme de signature. `raw`À utiliser pour les données non hachées ; à utiliser `digest` pour les résumés déjà hachés.
Valeurs valides :
+ raw
+ digérer
## Rubriques en relation
+ [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md)