CloudHSM CLI で HashEdDSA メカニズムで署名された署名を検証する - AWS CloudHSM
ユーザーのタイプ要件Syntax引数関連トピック

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudHSM CLI で HashEdDSA メカニズムで署名された署名を検証する

重要

HashEdDSA 署名検証オペレーションは、非 FIPS モードの hsm2m.medium インスタンスでのみサポートされます。

CloudHSM CLI の crypto verify ed25519ph コマンドを使用して、次のオペレーションを完了します。

  • 特定の Ed25519 パブリックキーを使用して、データまたはファイルの署名を検証します。

  • HashEdDSA 署名メカニズムを使用して署名が生成されたことを確認します。HashEdDSA の詳細については、NIST SP 186-5、セクション 7.8 を参照してください。

crypto verify ed25519ph コマンドを使用するには、まず AWS CloudHSM クラスターに Ed25519 パブリックキーが必要です。curve パラメータを に設定ed25519し、 verify 属性を に設定して CloudHSM CLI を使用して非対称 EC キーペアを生成する コマンドを使用して Ed25519 キーペアを生成するかtrueverify 属性を に設定して CloudHSM CLI で PEM 形式キーをインポートする コマンドを使用して Ed25519 パブリックキーをインポートできますtrue

注記

CloudHSM CLI の CloudHSM CLI の暗号化署名カテゴリ サブコマンドを使用して署名を生成できます。

ユーザーのタイプ

このコマンドは、次のタイプのユーザーが実行できます。

  • Crypto User (CU)

要件

  • このコマンドを実行するには、CU としてログインする必要があります。

  • HashEdDSA 署名検証オペレーションは、非 FIPS モードの hsm2m.medium インスタンスでのみサポートされます。

Syntax

aws-cloudhsm > help crypto verify ed25519ph
Verify with the Ed25519ph mechanism

Usage: crypto verify ed25519ph [OPTIONS] --key-filter [<KEY_FILTER>...] --data-type <DATA_TYPE> --hash-function <HASH_FUNCTION> <--data-path <DATA_PATH>|--data <DATA>> <--signature-path <SIGNATURE_PATH>|--signature <SIGNATURE>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --key-filter [<KEY_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
      --data-path <DATA_PATH>
          The path to the file containing the data to be verified
      --data <DATA>
          Base64 encoded data to be verified
      --signature-path <SIGNATURE_PATH>
          The path to where the signature is located
      --signature <SIGNATURE>
          Base64 encoded signature to be verified
      --data-type <DATA_TYPE>
          The type of data passed in, either raw or digest [possible values: raw, digest]
      --hash-function <HASH_FUNCTION>
          Hash function [possible values: sha512]
  -h, --help
          Print help

これらの例は、 crypto verify ed25519phを使用して Ed25519ph 署名メカニズムとsha512ハッシュ関数を使用して生成された署名を検証する方法を示しています。このコマンドは HSM で Ed25519 パブリックキーを使用します。

例例: Base64 でエンコードされた署名を Base64 でエンコードされたデータで検証する
aws-cloudhsm > crypto verify ed25519ph \
    --hash-function sha512 \
    --key-filter attr.label=ed25519-public \
    --data-type raw \
    --data YWJj \
    --signature mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg==
{
  "error_code": 0,
  "data": {
    "message": "Signature verified successfully"
  }
}
例例: データファイルを使用して署名ファイルを検証する
aws-cloudhsm > crypto verify ed25519ph \
    --hash-function sha512 \
    --key-filter attr.label=ed25519-public \
    --data-type raw \
    --data-path data.txt \
    --signature-path signature-file
{
  "error_code": 0,
  "data": {
    "message": "Signature verified successfully"
  }
}

引数

<CLUSTER_ID>

このオペレーションを実行するクラスターの ID。

必須: 複数のクラスターが設定されている場合。

<DATA>

検証する Base64 エンコードされたデータ。

必須: はい (データパスを通じて提供される場合を除く)

<DATA_PATH>

検証するデータの場所を指定します。

必須: はい (データパラメータで指定されない限り)

<HASH_FUNCTION>

ハッシュ関数を指定します。Ed25519ph は SHA512 のみをサポートします。

有効な値:

  • sha512

必須: はい

<KEY_FILTER>

キーリファレンス (例: key-reference=0xabc) または attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE 形式のキー属性のスペース区切りリスト。これに一致するキーを選択します。

サポートされている CloudHSM CLI キー属性のリストについては、「」を参照してくださいCloudHSM CLI のキー属性

必須: はい

<SIGNATURE>

Base64 でエンコードされた署名。

必須: はい (署名パスを通じて提供される場合を除く)

<SIGNATURE_PATH>

署名の場所を指定します。

必須: はい (署名パラメータで指定されない限り)

<DATA_TYPE>

データパラメータの値を検証アルゴリズムの一部としてハッシュするかどうかを指定します。ハッシュされていないデータには raw を使用し、すでにハッシュされているダイジェストには digest を使用します。

有効な値:

  • raw

  • ダイジェスト

必須: はい

関連トピック