As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# A categoria crypto na CLI do CloudHSM
Na CLI do CloudHSM, **crypto** é uma categoria principal para um grupo de comandos que, quando combinado com a categoria principal, cria um comando específico para operações criptográficas. Atualmente, essa categoria consiste nos seguintes comandos:
+ [sign](cloudhsm_cli-crypto-sign.md)
+ [ecdsa](cloudhsm_cli-crypto-sign-ecdsa.md)
+ [ed25519ph](cloudhsm_cli-crypto-sign-ed25519ph.md)
+ [rsa-pkcs](cloudhsm_cli-crypto-sign-rsa-pkcs.md)
+ [rsa-pkcs-pss](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md)
+ [verificar](cloudhsm_cli-crypto-verify.md)
+ [ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md)
+ [ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md)
+ [rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md)
+ [rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md)
# A categoria de assinatura criptográfica na CLI do CloudHSM
Na CLI do CloudHSM, **crypto sign** é uma categoria principal de um grupo de comandos que, quando combinados com a categoria principal, usam uma chave privada escolhida no seu cluster do AWS CloudHSM para gerar uma assinatura. O comando **crypto sign** tem os seguintes subcomandos:
+ [Gerar uma assinatura com o mecanismo ECDSA na CloudHSM CLI](cloudhsm_cli-crypto-sign-ecdsa.md)
+ [Gere uma assinatura com o mecanismo HashEd DSA na CLI do CloudHSM](cloudhsm_cli-crypto-sign-ed25519ph.md)
+ [Gerar uma assinatura com o mecanismo RSA-PKCS na CloudHSM CLI](cloudhsm_cli-crypto-sign-rsa-pkcs.md)
+ [Gere uma assinatura com o RSA-PKCS-PSS mecanismo na CLI do CloudHSM](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md)
Para usar o **crypto sign**, primeiro você deve ter uma chave privada no HSM. Você pode gerar uma chave privada com os seguintes comandos:
+ [chave, generate-asymmetric-pair etc.](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [chave generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
# Gerar uma assinatura com o mecanismo ECDSA na CloudHSM CLI
Use o comando **crypto sign ecdsa** na CloudHSM CLI para gerar uma assinatura usando uma chave privada EC e o mecanismo de assinatura ECDSA.
Para usar o **crypto sign ecdsa** comando, primeiro você deve ter uma chave privada EC em seu AWS CloudHSM cluster. Você pode gerar uma chave privada EC usando o comando [Gerar um par de chaves EC assimétricas com a CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) com o atributo `sign` definido como `true`.
A assinatura ECDSA resultante é gerada no formato`r||s`, em que os componentes r e s são concatenados como dados binários brutos e retornados no formato codificado em base64.
**nota**
As assinaturas podem ser verificadas AWS CloudHSM com [A categoria de verificação de criptografia na CLI do CloudHSM](cloudhsm_cli-crypto-verify.md) subcomandos.
## Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
+ Usuários de criptomoedas (CUs)
## Requisitos
+ Para executar esse comando, você deve estar registrado(a) como um CU.
## Sintaxe
```
aws-cloudhsm > help crypto sign ecdsa
Sign with the ECDSA mechanism
Usage: crypto sign ecdsa --key-filter [>...] --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Exemplo
Esses exemplos mostram como usar o **crypto sign ecdsa** para gerar uma assinatura usando o mecanismo de assinatura ECDSA e a função hash `SHA256`. Esse comando usa uma chave privada no HSM.
**Example Exemplo: gerar uma assinatura para dados codificados em base 64**
```
aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data YWJjMTIz
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007808dd",
"signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw=="
}
}
```
**Example Exemplo: gerar uma assinatura para um arquivo de dados**
```
aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007808dd",
"signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw=="
}
}
```
## Argumentos
******
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido [configurados.](cloudhsm_cli-configs-multi-cluster.md)
******
Dados codificados em Base64 a serem assinados.
Obrigatório: sim (a menos que seja fornecido por meio do caminho de dados)
******
Especifica o local dos dados a serem assinados.
Obrigatório: sim (a menos que seja fornecido por meio do caminho de dados)
******
Especifica a função hash.
Valores válidos:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obrigatório: Sim
******
Referência de chave (por exemplo, `key-reference=0xabc`) ou lista separada por espaços de atributos de chave na forma de attr.KEY\$1ATTRIBUTE\$1NAME=KEY\$1ATTRIBUTE\$1VALUE para selecionar uma chave correspondente.
Para obter uma lista dos atributos de chave compatíveis com a CloudHSM CLI, consulte Atributos de chave da CloudHSM CLI.
Obrigatório: Sim
******
Especifica o caminho do arquivo para um arquivo de token de quórum designado para aprovar a operação. Exigido somente se o valor do quórum do serviço de uso da chave privada for maior que 1.
******
Especifica se o valor do parâmetro de dados deve ser criptografado com hash como parte do algoritmo de assinatura. Use `raw` para dados sem hash; use `digest` para resumos, que já estão criptografados com hash.
Valores válidos:
+ bruto
+ resumo
## Tópicos relacionados
+ [A categoria de assinatura criptográfica na CLI do CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [A categoria de verificação de criptografia na CLI do CloudHSM](cloudhsm_cli-crypto-verify.md)
# Gere uma assinatura com o mecanismo HashEd DSA na CLI do CloudHSM
**Importante**
HashEdAs operações de assinatura de DSA só são suportadas em instâncias hsm2m.medium no modo não FIPS.
Use o **crypto sign ed25519ph** comando na CLI do CloudHSM para gerar uma assinatura usando uma chave privada Ed25519 e o mecanismo de assinatura do DSA. HashEd Para obter informações adicionais sobre o HashEd DSA, consulte [NIST SP 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf), Seção 7.8.
Para usar o **crypto sign ed25519ph** comando, primeiro você deve ter uma chave privada Ed25519 em seu cluster. AWS CloudHSM Você pode gerar uma chave privada Ed25519 usando o [Gerar um par de chaves EC assimétricas com a CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) comando com o `curve` parâmetro definido como `ed25519` e o `sign` atributo definido como. `true`
**nota**
As assinaturas podem ser verificadas AWS CloudHSM com [A categoria de verificação de criptografia na CLI do CloudHSM](cloudhsm_cli-crypto-verify.md) subcomandos.
## Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
+ Usuários de criptomoedas (CUs)
## Requisitos
+ Para executar esse comando, você deve estar registrado(a) como um CU.
+ HashEdAs operações de assinatura de DSA só são suportadas em instâncias hsm2m.medium no modo não FIPS.
## Sintaxe
```
aws-cloudhsm > help crypto sign ed25519ph
Sign with the Ed25519ph mechanism
Usage: crypto sign ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--hash-function
Hash function [possible values: sha512]
-h, --help
Print help
```
## Exemplo
Esses exemplos mostram como usar **crypto sign ed25519ph** para gerar uma assinatura usando o mecanismo de assinatura ED25519ph e a função hash. `sha512` Esse comando usa uma chave privada no HSM.
**Example Exemplo: gerar uma assinatura para dados codificados em base 64**
```
aws-cloudhsm > crypto sign ed25519ph \
--key-filter attr.label=ed25519-private \
--data-type raw \
--hash-function sha512 \
--data YWJj
{
"error_code": 0,
"data": {
"key-reference": "0x0000000000401cdf",
"signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
}
}
```
**Example Exemplo: gerar uma assinatura para um arquivo de dados**
```
aws-cloudhsm > crypto sign ed25519ph \
--key-filter attr.label=ed25519-private \
--data-type raw \
--hash-function sha512 \
--data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x0000000000401cdf",
"signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
}
}
```
## Argumentos
******
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido [configurados.](cloudhsm_cli-configs-multi-cluster.md)
******
Dados codificados em Base64 a serem assinados.
Obrigatório: sim (a menos que seja fornecido por meio do caminho de dados)
******
Especifica o local dos dados a serem assinados.
Obrigatório: Sim (a menos que seja fornecido por meio do parâmetro de dados)
******
Especifica a função hash. O ED25519ph suporta apenas. SHA512
Valores válidos:
+ sha512
Obrigatório: Sim
******
Referência de chave (por exemplo, `key-reference=0xabc`) ou lista separada por espaços de atributos de chave na forma de attr.KEY\$1ATTRIBUTE\$1NAME=KEY\$1ATTRIBUTE\$1VALUE para selecionar uma chave correspondente.
Para obter uma lista dos principais atributos da CLI do CloudHSM compatíveis, consulte. [Atributos de chave da CloudHSM CLI](cloudhsm_cli-key-attributes.md)
Obrigatório: Sim
******
Especifica o caminho do arquivo para um arquivo de token de quórum designado para aprovar a operação. Exigido somente se o valor do quórum do serviço de uso da chave privada for maior que 1.
******
Especifica se o valor do parâmetro de dados deve ser criptografado com hash como parte do algoritmo de assinatura. Use `raw` para dados sem hash; use `digest` para resumos, que já estão criptografados com hash.
Valores válidos:
+ bruto
+ resumo
Obrigatório: Sim
## Tópicos relacionados
+ [A categoria de assinatura criptográfica na CLI do CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [A categoria de verificação de criptografia na CLI do CloudHSM](cloudhsm_cli-crypto-verify.md)
# Gerar uma assinatura com o mecanismo RSA-PKCS na CloudHSM CLI
Use o comando **crypto sign rsa-pkcs** na CloudHSM CLI para gerar uma assinatura usando uma chave privada RSA e o mecanismo de assinatura RSA-PKCS.
Para usar o **crypto sign rsa-pkcs** comando, primeiro você deve ter uma chave privada RSA em seu AWS CloudHSM cluster. Você pode gerar uma chave privada RSA usando o comando [Gerar um par de chaves assimétricas RSA com a CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) com o atributo `sign` definido como `true`.
**nota**
As assinaturas podem ser verificadas AWS CloudHSM com [A categoria de verificação de criptografia na CLI do CloudHSM](cloudhsm_cli-crypto-verify.md) subcomandos.
## Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
+ Usuários de criptomoedas (CUs)
## Requisitos
+ Para executar esse comando, você deve estar registrado(a) como um CU.
## Sintaxe
```
aws-cloudhsm > help crypto sign rsa-pkcs
Sign with the RSA-PKCS mechanism
Usage: crypto sign rsa-pkcs --key-filter [>...] --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Exemplo
Esses exemplos mostram como usar o **crypto sign rsa-pkcs** para gerar uma assinatura usando o mecanismo de assinatura RSA-PKCS e a função hash `SHA256`. Esse comando usa uma chave privada no HSM.
**Example Exemplo: gerar uma assinatura para dados codificados em base 64**
```
aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ=="
}
}
```
**Example Exemplo: gerar uma assinatura para um arquivo de dados**
```
aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ=="
}
}
```
## Argumentos
******
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido [configurados.](cloudhsm_cli-configs-multi-cluster.md)
******
Dados codificados em Base64 a serem assinados.
Obrigatório: sim (a menos que seja fornecido por meio do caminho de dados)
******
Especifica o local dos dados a serem assinados.
Obrigatório: sim (a menos que seja fornecido por meio de dados)
******
Especifica a função hash.
Valores válidos:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obrigatório: Sim
******
Referência de chave (por exemplo, `key-reference=0xabc`) ou lista separada por espaços de atributos de chave na forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` selecionar uma chave correspondente.
Para obter uma lista dos atributos de chave compatíveis com a CloudHSM CLI, consulte Atributos de chave da CloudHSM CLI.
Obrigatório: Sim
******
Especifica o caminho do arquivo para um arquivo de token de quórum designado para aprovar a operação. Exigido somente se o valor do quórum do serviço de uso da chave privada for maior que 1.
******
Especifica se o valor do parâmetro de dados deve ser criptografado com hash como parte do algoritmo de assinatura. Use `raw` para dados sem hash; use `digest` para resumos, que já estão criptografados com hash.
Em relação a RSA-PKCS, os dados devem ser passados no formato codificado DER, conforme especificado na [RFC 8017, Seção 9.2](https://www.rfc-editor.org/rfc/rfc8017#section-9.2)
Valores válidos:
+ bruto
+ resumo
## Tópicos relacionados
+ [A categoria de assinatura criptográfica na CLI do CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [A categoria de verificação de criptografia na CLI do CloudHSM](cloudhsm_cli-crypto-verify.md)
# Gere uma assinatura com o RSA-PKCS-PSS mecanismo na CLI do CloudHSM
Use o comando **crypto sign rsa-pkcs-pss** na CloudHSM CLI para gerar uma assinatura usando uma chave privada RSA e o mecanismo de assinatura `RSA-PKCS-PSS`.
Para usar o **crypto sign rsa-pkcs-pss** comando, primeiro você deve ter uma chave privada RSA em seu AWS CloudHSM cluster. Você pode gerar uma chave privada RSA usando o comando [Gerar um par de chaves assimétricas RSA com a CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) com o atributo `sign` definido como `true`.
**nota**
As assinaturas podem ser verificadas AWS CloudHSM com [A categoria de verificação de criptografia na CLI do CloudHSM](cloudhsm_cli-crypto-verify.md) subcomandos.
## Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
+ Usuários de criptomoedas (CUs)
## Requisitos
+ Para executar esse comando, você deve estar registrado(a) como um CU.
## Sintaxe
```
aws-cloudhsm > help crypto sign rsa-pkcs-pss
Sign with the RSA-PKCS-PSS mechanism
Usage: crypto sign rsa-pkcs-pss [OPTIONS] --key-filter [...] --hash-function --mgf --salt-length <--data-path |--data >
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function [possible values: sha1, sha224, sha256, sha384, sha512]
--data-path The path to the file containing the data to be signed
--data Base64 Encoded data to be signed
--mgf The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
--salt-length The salt length
--approval Filepath of signed quorum token file to approve operation
--data-type The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help Print help
```
## Exemplo
Esses exemplos mostram como usar o **crypto sign rsa-pkcs-pss** para gerar uma assinatura usando o mecanismo de assinatura `RSA-PKCS-PSS` e a função hash `SHA256`. Esse comando usa uma chave privada no HSM.
**Example Exemplo: gerar uma assinatura para dados codificados em base 64**
```
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
}
}
```
**Example Exemplo: gerar uma assinatura para um arquivo de dados**
```
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
}
}
```
## Argumentos
******
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido [configurados.](cloudhsm_cli-configs-multi-cluster.md)
******
Dados codificados em Base64 a serem assinados.
Obrigatório: sim (a menos que seja fornecido por meio do caminho de dados)
******
Especifica o local dos dados a serem assinados.
Obrigatório: sim (a menos que seja fornecido por meio de dados)
******
Especifica a função hash.
Valores válidos:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obrigatório: Sim
******
Referência de chave (por exemplo, `key-reference=0xabc`) ou lista separada por espaços de atributos de chave na forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` selecionar uma chave correspondente.
Para obter uma lista dos atributos de chave compatíveis com a CloudHSM CLI, consulte Atributos de chave da CloudHSM CLI.
Obrigatório: Sim
******
Especifica a função de geração da máscara.
A função hash da função de geração de máscara deve corresponder à função hash do mecanismo de assinatura.
Valores válidos:
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
Obrigatório: Sim
******
Especifica o comprimento do sal.
Obrigatório: Sim
******
Especifica o caminho do arquivo para um arquivo de token de quórum designado para aprovar a operação. Exigido somente se o valor do quórum do serviço de uso da chave privada for maior que 1.
******
Especifica se o valor do parâmetro de dados deve ser criptografado com hash como parte do algoritmo de assinatura. Use `raw` para dados sem hash; use `digest` para resumos, que já estão criptografados com hash.
Valores válidos:
+ bruto
+ resumo
## Tópicos relacionados
+ [A categoria de assinatura criptográfica na CLI do CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [A categoria de verificação de criptografia na CLI do CloudHSM](cloudhsm_cli-crypto-verify.md)
## Tópicos relacionados
+ [A categoria de verificação de criptografia na CLI do CloudHSM](cloudhsm_cli-crypto-verify.md)
# A categoria de verificação de criptografia na CLI do CloudHSM
Na CLI do CloudHSM, **crypto verify** é uma categoria principal de um grupo de comandos que, quando combinados com a categoria principal, confirmam se um arquivo foi assinado por uma determinada chave. O comando **crypto verify** tem os seguintes subcomandos:
+ [crypto verify ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md)
+ [verificação criptográfica ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md)
+ [crypto verify rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md)
+ [verificação criptográfica rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md)
O comando **crypto verify** compara um arquivo assinado com um arquivo de origem e analisa se eles estão criptograficamente relacionados com base em uma determinada chave pública e no mecanismo de assinatura.
**nota**
Os arquivos podem ser conectados AWS CloudHSM com a [A categoria de assinatura criptográfica na CLI do CloudHSM](cloudhsm_cli-crypto-sign.md) operação.
# Verifique uma assinatura assinada com o mecanismo ECDSA na CloudHSM CLI
Use o comando **crypto verify ecdsa** na CloudHSM CLI para concluir as seguintes operações:
+ Confirme se um arquivo foi assinado no HSM por uma determinada chave pública.
+ Verifique se a assinatura foi gerada usando o mecanismo de assinatura ECDSA.
+ Compare um arquivo assinado com um arquivo de origem e determina se os dois estão criptograficamente relacionados com base em uma determinada chave pública ecdsa e em um mecanismo de assinatura.
+ A função de verificação do ECDSA espera a assinatura no formato`r||s`, em que os componentes r e s são concatenados como dados binários brutos.
Para usar o **crypto verify ecdsa** comando, primeiro você deve ter uma chave pública EC em seu AWS CloudHSM cluster. Você pode importar uma chave pública EC usando o comando [Importar uma chave no formato PEM com a CLI do CloudHSM](cloudhsm_cli-key-import-pem.md) com o atributo `verify` definido como `true`.
**nota**
Você pode gerar uma assinatura na CloudHSM CLI com os subcomandos contidos em [A categoria de assinatura criptográfica na CLI do CloudHSM](cloudhsm_cli-crypto-sign.md).
## Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
+ Usuários de criptomoedas (CUs)
## Requisitos
+ Para executar esse comando, você deve estar registrado(a) como um CU.
## Sintaxe
```
aws-cloudhsm > help crypto verify ecdsa
Verify with the ECDSA mechanism
Usage: crypto verify ecdsa --key-filter [...] --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Exemplo
Esses exemplos mostram como usar o **crypto verify ecdsa** para verificar uma assinatura que foi gerada usando o mecanismo de assinatura ECDSA e a função hash `SHA256`. Esse comando usa uma chave pública no HSM.
**Example Exemplo: verificar uma assinatura codificada em Base64 com dados codificados em Base64**
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data YWJjMTIz --signature 4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemplo: verificar um arquivo de assinatura com um arquivo de dados**
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data-path data.txt --signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemplo: provar relacionamento de assinatura falso**
Esse comando verifica se os dados localizados em `/home/data` foram assinados por uma chave pública com o rótulo `ecdsa-public` usando o mecanismo de assinatura ECDSA para produzir a assinatura localizada em `/home/signature`. Como os argumentos fornecidos não formam um relacionamento de assinatura verdadeiro, o comando retorna uma mensagem de erro.
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data aW52YWxpZA== --signature +ogk7M7S3iTqFg3SndJfd91dZFr5Qo6YixJl8JwcvqqVgsVuO6o+VKvTRjz0/V05kf3JJbBLr87Q+wLWcMAJfA==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## Argumentos
******
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido [configurados.](cloudhsm_cli-configs-multi-cluster.md)
******
Dados codificados em Base64 a serem assinados.
Obrigatório: sim (a menos que seja fornecido por meio do caminho de dados)
******
Especifica o local dos dados a serem assinados.
Obrigatório: sim (a menos que seja fornecido por meio do caminho de dados)
******
Especifica a função hash.
Valores válidos:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obrigatório: Sim
******
Referência de chave (por exemplo, `key-reference=0xabc`) ou lista separada por espaços de atributos de chave na forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` selecionar uma chave correspondente.
Para obter uma lista dos atributos de chave compatíveis com a CloudHSM CLI, consulte Atributos de chave da CloudHSM CLI.
Obrigatório: Sim
******
Assinatura codificada em Base64.
Obrigatório: sim (a menos que seja fornecido por meio do caminho da assinatura)
******
Especifica o local da assinatura.
Obrigatório: sim (a menos que seja fornecido por meio do caminho da assinatura)
******
Especifica se o valor do parâmetro de dados deve ser criptografado com hash como parte do algoritmo de assinatura. Use `raw` para dados sem hash; use `digest` para resumos, que já estão criptografados com hash.
Valores válidos:
+ bruto
+ resumo
## Tópicos relacionados
+ [A categoria de assinatura criptográfica na CLI do CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [A categoria de verificação de criptografia na CLI do CloudHSM](cloudhsm_cli-crypto-verify.md)
# Verifique uma assinatura assinada com o mecanismo HashEd DSA na CLI do CloudHSM
**Importante**
HashEdAs operações de verificação de assinatura do DSA só são suportadas em instâncias hsm2m.medium no modo não FIPS.
Use o comando **crypto verify ed25519ph** na CloudHSM CLI para concluir as seguintes operações:
+ Verifique as assinaturas de dados ou arquivos usando uma determinada chave pública Ed25519.
+ Confirme se a assinatura foi gerada usando o mecanismo de assinatura HashEd DSA. Para obter informações adicionais sobre o HashEd DSA, consulte [NIST SP 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf), Seção 7.8.
Para usar o **crypto verify ed25519ph** comando, primeiro você deve ter uma chave pública Ed25519 em seu cluster. AWS CloudHSM Você pode gerar um par de chaves Ed25519 usando o [Gerar um par de chaves EC assimétricas com a CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) comando com o `curve` parâmetro definido como `ed25519` e o `verify` atributo definido como`true`, ou importar uma chave pública Ed25519 usando o [Importar uma chave no formato PEM com a CLI do CloudHSM](cloudhsm_cli-key-import-pem.md) comando com o atributo definido como. `verify` `true`
**nota**
Você pode gerar uma assinatura na CloudHSM CLI com os subcomandos contidos em [A categoria de assinatura criptográfica na CLI do CloudHSM](cloudhsm_cli-crypto-sign.md).
## Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
+ Usuários de criptomoedas (CUs)
## Requisitos
+ Para executar esse comando, você deve estar registrado(a) como um CU.
+ HashEdAs operações de verificação de assinatura do DSA só são suportadas em instâncias hsm2m.medium no modo não FIPS.
## Sintaxe
```
aws-cloudhsm > help crypto verify ed25519ph
Verify with the Ed25519ph mechanism
Usage: crypto verify ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--hash-function
Hash function [possible values: sha512]
-h, --help
Print help
```
## Exemplo
Esses exemplos mostram como usar **crypto verify ed25519ph** para verificar uma assinatura que foi gerada usando o mecanismo de assinatura ED25519ph e a função hash. `sha512` Esse comando usa uma chave pública Ed25519 no HSM.
**Example Exemplo: verificar uma assinatura codificada em Base64 com dados codificados em Base64**
```
aws-cloudhsm > crypto verify ed25519ph \
--hash-function sha512 \
--key-filter attr.label=ed25519-public \
--data-type raw \
--data YWJj \
--signature mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemplo: verificar um arquivo de assinatura com um arquivo de dados**
```
aws-cloudhsm > crypto verify ed25519ph \
--hash-function sha512 \
--key-filter attr.label=ed25519-public \
--data-type raw \
--data-path data.txt \
--signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
## Argumentos
******
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido [configurados.](cloudhsm_cli-configs-multi-cluster.md)
******
Dados codificados em Base64 a serem verificados.
Obrigatório: sim (a menos que seja fornecido por meio do caminho de dados)
******
Especifica a localização dos dados a serem verificados.
Obrigatório: Sim (a menos que seja fornecido por meio do parâmetro de dados)
******
Especifica a função hash. O ED25519ph suporta apenas. SHA512
Valores válidos:
+ sha512
Obrigatório: Sim
******
Referência de chave (por exemplo, `key-reference=0xabc`) ou lista separada por espaços de atributos de chave na forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` selecionar uma chave correspondente.
Para obter uma lista dos principais atributos da CLI do CloudHSM compatíveis, consulte. [Atributos de chave da CloudHSM CLI](cloudhsm_cli-key-attributes.md)
Obrigatório: Sim
******
Assinatura codificada em Base64.
Obrigatório: sim (a menos que seja fornecido por meio do caminho da assinatura)
******
Especifica o local da assinatura.
Obrigatório: Sim (a menos que seja fornecido por meio do parâmetro de assinatura)
******
Especifica se o valor do parâmetro de dados deve ser codificado como parte do algoritmo de verificação. Use `raw` para dados sem hash; use `digest` para resumos, que já estão criptografados com hash.
Valores válidos:
+ bruto
+ resumo
Obrigatório: Sim
## Tópicos relacionados
+ [A categoria de assinatura criptográfica na CLI do CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [A categoria de verificação de criptografia na CLI do CloudHSM](cloudhsm_cli-crypto-verify.md)
+ [Gere uma assinatura com o mecanismo HashEd DSA na CLI do CloudHSM](cloudhsm_cli-crypto-sign-ed25519ph.md)
# Verificar uma assinatura assinada com o mecanismo RSA-PKCS na CloudHSM CLI
Use o comando **crypto verify rsa-pkcs** na CloudHSM CLI para concluir as seguintes operações:
+ Confirme se um arquivo foi assinado no HSM por uma determinada chave pública.
+ Verifique se a assinatura foi gerada usando o mecanismo de assinatura `RSA-PKCS`.
+ Compare um arquivo assinado com um arquivo de origem e determina se os dois estão criptograficamente relacionados com base em uma determinada chave pública RSA e em um mecanismo de assinatura.
Para usar o **crypto verify rsa-pkcs** comando, primeiro você deve ter uma chave pública RSA em seu AWS CloudHSM cluster.
**nota**
Você pode gerar uma assinatura usando a CloudHSM CLI com os subcomandos contidos em [A categoria de assinatura criptográfica na CLI do CloudHSM](cloudhsm_cli-crypto-sign.md).
## Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
+ Usuários de criptomoedas (CUs)
## Requisitos
+ Para executar esse comando, você deve estar registrado(a) como um CU.
## Sintaxe
```
aws-cloudhsm > help crypto verify rsa-pkcs
Verify with the RSA-PKCS mechanism
Usage: crypto verify rsa-pkcs --key-filter [...] --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Exemplo
Esses exemplos mostram como usar **crypto verify rsa-pkcs** para verificar uma assinatura que foi gerada usando o mecanismo de assinatura RSA-PKCS e a função hash `SHA256`. Esse comando usa uma chave pública no HSM.
**Example Exemplo: verificar uma assinatura codificada em Base64 com dados codificados em Base64**
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data YWJjMTIz --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemplo: verificar um arquivo de assinatura com um arquivo de dados**
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data-path data.txt --signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemplo: provar relacionamento de assinatura falso**
Esse comando verifica se os dados inválidos foram assinados por uma chave pública com o rótulo `rsa-public` usando o mecanismo de assinatura RSAPKCS para produzir a assinatura localizada em `/home/signature`. Como os argumentos fornecidos não formam um relacionamento de assinatura verdadeiro, o comando retorna uma mensagem de erro.
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data aW52YWxpZA== --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## Argumentos
******
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido [configurados.](cloudhsm_cli-configs-multi-cluster.md)
******
Dados codificados em Base64 a serem assinados.
Obrigatório: sim (a menos que seja fornecido por meio do caminho de dados)
******
Especifica o local dos dados a serem assinados.
Obrigatório: sim (a menos que seja fornecido por meio do caminho de dados)
******
Especifica a função hash.
Valores válidos:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obrigatório: Sim
******
Referência de chave (por exemplo, `key-reference=0xabc`) ou lista separada por espaços de atributos de chave na forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` selecionar uma chave correspondente.
Para obter uma lista dos atributos de chave compatíveis com a CloudHSM CLI, consulte Atributos de chave da CloudHSM CLI.
Obrigatório: Sim
******
Assinatura codificada em Base64.
Obrigatório: sim (a menos que seja fornecido por meio do caminho da assinatura)
******
Especifica o local da assinatura.
Obrigatório: sim (a menos que seja fornecido por meio do caminho da assinatura)
******
Especifica se o valor do parâmetro de dados deve ser criptografado com hash como parte do algoritmo de assinatura. Use `raw` para dados sem hash; use `digest` para resumos, que já estão criptografados com hash.
Em relação a RSA-PKCS, os dados devem ser passados no formato codificado DER, conforme especificado na [RFC 8017, Seção 9.2](https://www.rfc-editor.org/rfc/rfc8017#section-9.2)
Valores válidos:
+ bruto
+ resumo
## Tópicos relacionados
+ [A categoria de assinatura criptográfica na CLI do CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [A categoria de verificação de criptografia na CLI do CloudHSM](cloudhsm_cli-crypto-verify.md)
# Verifique uma assinatura assinada com o RSA-PKCS-PSS mecanismo na CLI do CloudHSM
Use o comando **crypto sign rsa-pkcs-pss** na CloudHSM CLI para concluir as operações a seguir.
+ Confirme se um arquivo foi assinado no HSM por uma determinada chave pública.
+ Verifique se a assinatura foi gerada usando o mecanismo de assinatura RSA-PKCS-PSS.
+ Compare um arquivo assinado com um arquivo de origem e determina se os dois estão criptograficamente relacionados com base em uma determinada chave pública RSA e em um mecanismo de assinatura.
Para usar o **crypto verify rsa-pkcs-pss** comando, primeiro você deve ter uma chave pública RSA em seu AWS CloudHSM cluster. Você pode importar uma chave pública RSA usando o comando key import pem (ADD UNWRAP LINK HERE) com o atributo `verify` definido como `true`.
**nota**
Você pode gerar uma assinatura usando a CloudHSM CLI com os subcomandos contidos em [A categoria de assinatura criptográfica na CLI do CloudHSM](cloudhsm_cli-crypto-sign.md).
## Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
+ Usuários de criptomoedas (CUs)
## Requisitos
+ Para executar esse comando, você deve estar registrado(a) como um CU.
## Sintaxe
```
aws-cloudhsm > help crypto verify rsa-pkcs-pss
Verify with the RSA-PKCS-PSS mechanism
Usage: crypto verify rsa-pkcs-pss --key-filter [...] --hash-function --mgf --salt-length >SALT_LENGTH< <--data-path |--data <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--mgf
The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
--salt-length
The salt length
-h, --help
Print help
```
## Exemplo
Esses exemplos mostram como usar **crypto verify rsa-pkcs-pss** para verificar uma assinatura que foi gerada usando o mecanismo de RSA-PKCS-PSS assinatura e a função `SHA256` hash. Esse comando usa uma chave pública no HSM.
**Example Exemplo: verificar uma assinatura codificada em Base64 com dados codificados em Base64**
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemplo: verificar um arquivo de assinatura com um arquivo de dados**
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256 --signature signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemplo: provar relacionamento de assinatura falso**
Esse comando verifica se os dados inválidos foram assinados por uma chave pública com o rótulo `rsa-public` usando o mecanismo de assinatura RSAPKCSPSS para produzir a assinatura localizada em `/home/signature`. Como os argumentos fornecidos não formam um relacionamento de assinatura verdadeiro, o comando retorna uma mensagem de erro.
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data aW52YWxpZA== --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## Argumentos
******
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido [configurados.](cloudhsm_cli-configs-multi-cluster.md)
******
Dados codificados em Base64 a serem assinados.
Obrigatório: sim (a menos que seja fornecido por meio do caminho de dados)
******
Especifica o local dos dados a serem assinados.
Obrigatório: sim (a menos que seja fornecido por meio do caminho de dados)
******
Especifica a função hash.
Valores válidos:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obrigatório: Sim
******
Referência de chave (por exemplo, `key-reference=0xabc`) ou lista separada por espaços de atributos de chave na forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` selecionar uma chave correspondente.
Para obter uma lista dos atributos de chave compatíveis com a CloudHSM CLI, consulte Atributos de chave da CloudHSM CLI.
Obrigatório: Sim
******
Especifica a função de geração da máscara.
A função hash da função de geração de máscara deve corresponder à função hash do mecanismo de assinatura.
Valores válidos:
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
Obrigatório: Sim
******
Assinatura codificada em Base64.
Obrigatório: sim (a menos que seja fornecido por meio do caminho da assinatura)
******
Especifica o local da assinatura.
Obrigatório: sim (a menos que seja fornecido por meio do caminho da assinatura)
******
Especifica se o valor do parâmetro de dados deve ser criptografado com hash como parte do algoritmo de assinatura. Use `raw` para dados sem hash; use `digest` para resumos, que já estão criptografados com hash.
Valores válidos:
+ bruto
+ resumo
## Tópicos relacionados
+ [A categoria de assinatura criptográfica na CLI do CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [A categoria de verificação de criptografia na CLI do CloudHSM](cloudhsm_cli-crypto-verify.md)