CloudHSM CLI에서 HashEdDSA 메커니즘으로 서명된 서명 확인

중요

HashEdDSA 서명 확인 작업은 비 FIPS 모드의 hsm2m.medium 인스턴스에서만 지원됩니다.

CloudHSM CLI에서 crypto verify ed25519ph 명령을 사용하여 다음 작업을 완료합니다.

지정된 Ed25519 퍼블릭 키를 사용하여 데이터 또는 파일의 서명을 확인합니다.
HashEdDSA 서명 메커니즘을 사용하여 서명이 생성되었는지 확인합니다. HashEdDSA에 대한 자세한 내용은 NIST SP 186-5, 섹션 7.8을 참조하세요.

crypto verify ed25519ph 명령을 사용하려면 먼저 AWS CloudHSM 클러스터에 Ed25519 퍼블릭 키가 있어야 합니다. curve 파라미터가 로 설정ed25519되고 verify 속성이 로 설정된 CloudHSM CLI를 사용하여 비대칭 EC 키 페어 생성 명령을 사용하여 Ed25519 키 페어를 생성true하거나 verify 속성이 로 설정된 CloudHSM CLI를 사용하여 PEM 형식 키 가져오기 명령을 사용하여 Ed25519 퍼블릭 키를 가져올 수 있습니다true.

참고

CloudHSM CLI에서 암호화 서명 범주 하위 명령을 사용하여 CloudHSM CLI에서 서명을 생성할 수 있습니다.

사용자 유형

다음 사용자 유형이 이 명령을 실행할 수 있습니다.

CU(Crypto User)

요구 사항

이 명령을 실행하려면 CU로 로그인해야 합니다.
HashEdDSA 서명 확인 작업은 비 FIPS 모드의 hsm2m.medium 인스턴스에서만 지원됩니다.

구문


aws-cloudhsm > help crypto verify ed25519ph
Verify with the Ed25519ph mechanism

Usage: crypto verify ed25519ph [OPTIONS] --key-filter [<KEY_FILTER>...] --data-type <DATA_TYPE> --hash-function <HASH_FUNCTION> <--data-path <DATA_PATH>|--data <DATA>> <--signature-path <SIGNATURE_PATH>|--signature <SIGNATURE>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --key-filter [<KEY_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
      --data-path <DATA_PATH>
          The path to the file containing the data to be verified
      --data <DATA>
          Base64 encoded data to be verified
      --signature-path <SIGNATURE_PATH>
          The path to where the signature is located
      --signature <SIGNATURE>
          Base64 encoded signature to be verified
      --data-type <DATA_TYPE>
          The type of data passed in, either raw or digest [possible values: raw, digest]
      --hash-function <HASH_FUNCTION>
          Hash function [possible values: sha512]
  -h, --help
          Print help

예제

이 예제에서는를 crypto verify ed25519ph 사용하여 Ed25519ph 서명 메커니즘 및 sha512해시 함수를 사용하여 생성된 서명을 확인하는 방법을 보여줍니다. 이 명령은 HSM에서 Ed25519 퍼블릭 키를 사용합니다.

예예: Base64 인코딩 데이터를 사용하여 Base64 인코딩 서명 확인


aws-cloudhsm > crypto verify ed25519ph \
    --hash-function sha512 \
    --key-filter attr.label=ed25519-public \
    --data-type raw \
    --data YWJj \
    --signature mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg==
{
  "error_code": 0,
  "data": {
    "message": "Signature verified successfully"
  }
}

예예: 데이터 파일을 사용하여 서명 파일 확인


aws-cloudhsm > crypto verify ed25519ph \
    --hash-function sha512 \
    --key-filter attr.label=ed25519-public \
    --data-type raw \
    --data-path data.txt \
    --signature-path signature-file
{
  "error_code": 0,
  "data": {
    "message": "Signature verified successfully"
  }
}

인수

<CLUSTER_ID>

이 작업을 실행할 클러스터의 ID입니다.

필수: 여러 클러스터가 구성된 경우.

<DATA>

확인할 Base64 인코딩 데이터입니다.

필수: 예(데이터 경로를 통해 제공되지 않는 경우)

<DATA_PATH>

확인할 데이터의 위치를 지정합니다.

필수: 예(데이터 파라미터를 통해 제공되지 않는 경우)

<HASH_FUNCTION>

해시 함수를 지정합니다. Ed25519ph는 SHA512만 지원합니다.

유효한 값:

sha512

필수 항목 여부: 예

<KEY_FILTER>

키 참조(예: key-reference=0xabc) 또는 일치하는 키를 선택할 수 있는 attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE 형식의 키 속성의 공백으로 구분된 목록.

지원되는 CloudHSM CLI 키 속성 목록은 섹션을 참조하세요CloudHSM CLI의 키 속성.

필수 항목 여부: 예

<SIGNATURE>

Base64 인코딩된 서명.

필수: 예(서명 경로를 통해 제공되지 않는 경우)

<SIGNATURE_PATH>

서명의 위치를 지정합니다.

필수: 예(서명 파라미터를 통해 제공되지 않는 경우)

<DATA_TYPE>

데이터 파라미터의 값을 확인 알고리즘의 일부로 해시할지 여부를 지정합니다. 해시되지 않은 데이터에는 raw, 이미 해시된 다이제스트에는 digest를 사용합니다.