CloudHSM CLI で HashEdDSA メカニズムを使用して署名を生成する - AWS CloudHSM
ユーザーのタイプ要件Syntax引数関連トピック

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudHSM CLI で HashEdDSA メカニズムを使用して署名を生成する

重要

HashEdDSA 署名オペレーションは、非 FIPS モードの hsm2m.medium インスタンスでのみサポートされています。

CloudHSM CLI の crypto sign ed25519ph コマンドを使用して、Ed25519 プライベートキーと HashEdDSA 署名メカニズムを使用して署名を生成します。HashEdDSA の詳細については、NIST SP 186-5、セクション 7.8 を参照してください。

crypto sign ed25519ph コマンドを使用するには、まず AWS CloudHSM クラスターに Ed25519 プライベートキーが必要です。curve パラメータを に設定ed25519し、sign属性を に設定して、 CloudHSM CLI を使用して非対称 EC キーペアを生成する コマンドを使用して Ed25519 プライベートキーを生成できますtrue

注記

署名は、 CloudHSM CLI の暗号化検証カテゴリ サブコマンド AWS CloudHSM を使用して で検証できます。

ユーザーのタイプ

このコマンドは、次のタイプのユーザーが実行できます。

  • Crypto User (CU)

要件

  • このコマンドを実行するには、CU としてログインする必要があります。

  • HashEdDSA 署名オペレーションは、非 FIPS モードの hsm2m.medium インスタンスでのみサポートされています。

Syntax

aws-cloudhsm > help crypto sign ed25519ph
Sign with the Ed25519ph mechanism

Usage: crypto sign ed25519ph [OPTIONS] --key-filter [<KEY_FILTER>...] --data-type <DATA_TYPE> --hash-function <HASH_FUNCTION> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --key-filter [<KEY_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
      --data-path <DATA_PATH>
          The path to the file containing the data to be signed
      --data <DATA>
          Base64 Encoded data to be signed
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
      --data-type <DATA_TYPE>
          The type of data passed in, either raw or digest [possible values: raw, digest]
      --hash-function <HASH_FUNCTION>
          Hash function [possible values: sha512]
  -h, --help
          Print help

これらの例は、 crypto sign ed25519phを使用して Ed25519ph 署名メカニズムとsha512ハッシュ関数を使用して署名を生成する方法を示しています。このコマンドは HSM でプライベートキーを使用します。

例例: ベース 64 でエンコードされたデータの署名を生成する
aws-cloudhsm > crypto sign ed25519ph \
    --key-filter attr.label=ed25519-private \
    --data-type raw \
    --hash-function sha512 \
    --data YWJj
{
  "error_code": 0,
  "data": {
    "key-reference": "0x0000000000401cdf",
    "signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
  }
}
例例: データファイルの署名を生成する
aws-cloudhsm > crypto sign ed25519ph \
    --key-filter attr.label=ed25519-private \
    --data-type raw \
    --hash-function sha512 \
    --data-path data.txt
{
  "error_code": 0,
  "data": {
    "key-reference": "0x0000000000401cdf",
    "signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
  }
}

引数

<CLUSTER_ID>

このオペレーションを実行するクラスターの ID。

必須: 複数のクラスターが設定されている場合。

<DATA>

署名対象の Base64 でエンコードされたデータ。

必須: はい (データパスを通じて提供される場合を除く)

<DATA_PATH>

署名するデータの場所を指定します。

必須: はい (データパラメータで指定されない限り)

<HASH_FUNCTION>

ハッシュ関数を指定します。Ed25519ph は SHA512 のみをサポートします。

有効な値:

  • sha512

必須: はい

<KEY_FILTER>

キー参照 (例: key-reference=0xabc) または attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE 形式のキー属性のスペース区切りリスト。これに一致するキーを選択します。

サポートされている CloudHSM CLI キー属性のリストについては、「」を参照してくださいCloudHSM CLI のキー属性

必須: はい

<APPROVAL>

オペレーションを承認する署名付きクォーラムトークンファイルへのファイルパスを指定します。プライベートキーのキー使用サービスのクォーラム値が 1 より大きい場合にのみ必要です。

<DATA_TYPE>

データパラメータの値を、署名アルゴリズムの一部としてハッシュ化するかどうかを指定します。ハッシュされていないデータには raw を使用し、すでにハッシュされているダイジェストには digest を使用します。

有効な値:

  • raw

  • ダイジェスト

必須: はい

関連トピック