本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# CloudHSM CLI 中的 crypto sign 类别
在 CloudHSM CLI 中,**crypto sign** 是一组命令的父类别,当这些命令与父类别结合使用时,会使用 AWS CloudHSM 集群中选定的私有密钥生成签名。**crypto sign** 具有以下子命令:
+ [在 CloudHSM CLI 中使用 ECDSA 机制生成签名](cloudhsm_cli-crypto-sign-ecdsa.md)
+ [在 CloudHSM CLI 中使用 HashEd DSA 机制生成签名](cloudhsm_cli-crypto-sign-ed25519ph.md)
+ [在 CloudHSM CLI 中使用 RSA-PKCS 机制生成签名](cloudhsm_cli-crypto-sign-rsa-pkcs.md)
+ [使用 CloudHSM CL RSA-PKCS-PSS I 中的机制生成签名](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md)
要使用 **crypto sign**,您必须拥有 HSM 中的私有密钥。您可以使用以下命令生成私有密钥:
+ [key generate-asymmetric-pair ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [密钥 generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
# 在 CloudHSM CLI 中使用 ECDSA 机制生成签名
使用 CloudHSM CLI 中的 **crypto sign ecdsa** 命令通过 EC 私有密钥和 ECDSA 签名机制生成签名。
要使用该**crypto sign ecdsa**命令,您的 AWS CloudHSM 集群中必须首先有一个 EC 私钥。您可以使用 `sign` 属性设置为 `true` 的 [使用 CloudHSM CLI 生成非对称 EC 密钥对](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) 命令生成 EC 私有密钥。
生成的 ECDSA 签名采用以下格式生成`r||s`,其中 r 和 s 分量作为原始二进制数据连接并以 base64 编码格式返回。
**注意**
可以使用[CloudHSM CLI 中的 crypto verify 类别](cloudhsm_cli-crypto-verify.md)子命令验证签名。 AWS CloudHSM
## 用户类型
以下类型的用户均可运行此命令。
+ 加密用户 (CUs)
## 要求
+ 要运行此命令,必须以 CU 身份登录。
## 语法
```
aws-cloudhsm > help crypto sign ecdsa
Sign with the ECDSA mechanism
Usage: crypto sign ecdsa --key-filter [>...] --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## 示例
这些示例说明了如何使用 **crypto sign ecdsa** 通过 ECDSA 签名机制和 `SHA256` 哈希函数生成签名。此命令在 HSM 中使用私有密钥。
**Example 示例:为 base 64 编码的数据生成签名**
```
aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data YWJjMTIz
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007808dd",
"signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw=="
}
}
```
**Example 示例:为数据文件生成签名**
```
aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007808dd",
"signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw=="
}
}
```
## 参数
******
要运行此操作的集群的 ID。
必需:如果[已配置](cloudhsm_cli-configs-multi-cluster.md)多个集群。
******
要签名的 Base64 编码数据。
必需:是(除非通过数据路径提供)
******
指定要签名的数据的位置。
必需:是(除非通过数据路径提供)
******
指定哈希函数。
有效值:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
是否必需:是
******
密钥引用(例如,`key-reference=0xabc`)或空格分隔的密钥属性列表,采用 attr.KEY\$1ATTRIBUTE\$1NAME=KEY\$1ATTRIBUTE\$1VALUE 形式,可选择匹配密钥。
有关支持的 CloudHSM CLI key 密钥属性列表,请参阅“Key attributes for CloudHSM CLI”。
是否必需:是
******
指定要批准操作的已签名仲裁令牌文件的文件路径。仅当私有密钥的密钥使用服务仲裁值大于 1 时才需要。
******
指定是否应将数据参数的值作为签名算法的一部分进行哈希处理。`raw` 用于未经过哈希处理的数据;`digest` 用于已经过哈希处理的摘要。
有效值:
+ raw
+ 摘要
## 相关主题
+ [CloudHSM CLI 中的 crypto sign 类别](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI 中的 crypto verify 类别](cloudhsm_cli-crypto-verify.md)
# 在 CloudHSM CLI 中使用 HashEd DSA 机制生成签名
**重要**
HashEd仅在非 FIPS 模式下的 hsm2m.medium 实例上支持 DSA 签名操作。
使用 CloudHSM CLI 中的**crypto sign ed25519ph**命令使用 Ed25519 私钥和 DSA 签名机制生成签名。 HashEd有关 HashEd DSA 的更多信息,请参阅 [NIST SP 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf),第 7.8 节。
要使用该**crypto sign ed25519ph**命令,您的集群中必须首先有一个 Ed25519 私钥。 AWS CloudHSM 您可以使用`curve`参数设置为、`sign`属性设置为的[使用 CloudHSM CLI 生成非对称 EC 密钥对](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)命令生成 Ed25519 私钥。`ed25519` `true`
**注意**
可以使用[CloudHSM CLI 中的 crypto verify 类别](cloudhsm_cli-crypto-verify.md)子命令验证签名。 AWS CloudHSM
## 用户类型
以下类型的用户均可运行此命令。
+ 加密用户 (CUs)
## 要求
+ 要运行此命令,必须以 CU 身份登录。
+ HashEd仅在非 FIPS 模式下的 hsm2m.medium 实例上支持 DSA 签名操作。
## 语法
```
aws-cloudhsm > help crypto sign ed25519ph
Sign with the Ed25519ph mechanism
Usage: crypto sign ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--hash-function
Hash function [possible values: sha512]
-h, --help
Print help
```
## 示例
这些示例说明**crypto sign ed25519ph**如何使用 ed25519ph 签名机制和哈希函数生成签名。`sha512`此命令在 HSM 中使用私有密钥。
**Example 示例:为 base 64 编码的数据生成签名**
```
aws-cloudhsm > crypto sign ed25519ph \
--key-filter attr.label=ed25519-private \
--data-type raw \
--hash-function sha512 \
--data YWJj
{
"error_code": 0,
"data": {
"key-reference": "0x0000000000401cdf",
"signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
}
}
```
**Example 示例:为数据文件生成签名**
```
aws-cloudhsm > crypto sign ed25519ph \
--key-filter attr.label=ed25519-private \
--data-type raw \
--hash-function sha512 \
--data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x0000000000401cdf",
"signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
}
}
```
## 参数
******
要运行此操作的集群的 ID。
必需:如果[已配置](cloudhsm_cli-configs-multi-cluster.md)多个集群。
******
要签名的 Base64 编码数据。
必需:是(除非通过数据路径提供)
******
指定要签名的数据的位置。
必填项:是(除非通过 data 参数提供)
******
指定哈希函数。ed25519pH 仅支持。 SHA512
有效值:
+ sha512
是否必需:是
******
密钥引用(例如,`key-reference=0xabc`)或空格分隔的密钥属性列表,采用 attr.KEY\$1ATTRIBUTE\$1NAME=KEY\$1ATTRIBUTE\$1VALUE 形式,可选择匹配密钥。
有关支持的 CloudHSM CLI 密钥属性的列表,请参阅。[CloudHSM CLI 的密钥属性](cloudhsm_cli-key-attributes.md)
是否必需:是
******
指定要批准操作的已签名仲裁令牌文件的文件路径。仅当私有密钥的密钥使用服务仲裁值大于 1 时才需要。
******
指定是否应将数据参数的值作为签名算法的一部分进行哈希处理。`raw` 用于未经过哈希处理的数据;`digest` 用于已经过哈希处理的摘要。
有效值:
+ raw
+ 摘要
是否必需:是
## 相关主题
+ [CloudHSM CLI 中的 crypto sign 类别](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI 中的 crypto verify 类别](cloudhsm_cli-crypto-verify.md)
# 在 CloudHSM CLI 中使用 RSA-PKCS 机制生成签名
使用 CloudHSM CLI 中的 **crypto sign rsa-pkcs** 命令通过 RSA 私有密钥和 RSA-PKCS 签名机制生成签名。
要使用该**crypto sign rsa-pkcs**命令,您的 AWS CloudHSM 集群中必须首先有一个 RSA 私钥。您可以使用 `sign` 属性设置为 `true` 的 [使用 CloudHSM CLI 生成非对称 RSA 密钥对](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) 命令生成 RSA 私有密钥。
**注意**
可以使用[CloudHSM CLI 中的 crypto verify 类别](cloudhsm_cli-crypto-verify.md)子命令验证签名。 AWS CloudHSM
## 用户类型
以下类型的用户均可运行此命令。
+ 加密用户 (CUs)
## 要求
+ 要运行此命令,必须以 CU 身份登录。
## 语法
```
aws-cloudhsm > help crypto sign rsa-pkcs
Sign with the RSA-PKCS mechanism
Usage: crypto sign rsa-pkcs --key-filter [>...] --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## 示例
这些示例说明了如何使用 **crypto sign rsa-pkcs** 通过 RSA-PKCS 签名机制和 `SHA256` 哈希函数生成签名。此命令在 HSM 中使用私有密钥。
**Example 示例:为 base 64 编码的数据生成签名**
```
aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ=="
}
}
```
**Example 示例:为数据文件生成签名**
```
aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ=="
}
}
```
## 参数
******
要运行此操作的集群的 ID。
必需:如果[已配置](cloudhsm_cli-configs-multi-cluster.md)多个集群。
******
要签名的 Base64 编码数据。
必需:是(除非通过数据路径提供)
******
指定要签名的数据的位置。
必需:是(除非通过数据提供)
******
指定哈希函数。
有效值:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
是否必需:是
******
密钥引用(例如 `key-reference=0xabc`)或空格分隔的密钥属性列表,采用 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式,可选择匹配密钥。
有关支持的 CloudHSM CLI key 密钥属性列表,请参阅“Key attributes for CloudHSM CLI”。
是否必需:是
******
指定要批准操作的已签名仲裁令牌文件的文件路径。仅当私有密钥的密钥使用服务仲裁值大于 1 时才需要。
******
指定是否应将数据参数的值作为签名算法的一部分进行哈希处理。`raw` 用于未经过哈希处理的数据;`digest` 用于已经过哈希处理的摘要。
对于 RSA-PKCS,数据必须按照 [RFC 8017 第 9.2 节](https://www.rfc-editor.org/rfc/rfc8017#section-9.2)的规定以 DER 编码格式传递
有效值:
+ raw
+ 摘要
## 相关主题
+ [CloudHSM CLI 中的 crypto sign 类别](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI 中的 crypto verify 类别](cloudhsm_cli-crypto-verify.md)
# 使用 CloudHSM CL RSA-PKCS-PSS I 中的机制生成签名
使用 CloudHSM CLI 中的 **crypto sign rsa-pkcs-pss** 命令通过 RSA 私有密钥和 `RSA-PKCS-PSS` 签名机制生成签名。
要使用该**crypto sign rsa-pkcs-pss**命令,您的 AWS CloudHSM 集群中必须首先有一个 RSA 私钥。您可以使用 `sign` 属性设置为 `true` 的 [使用 CloudHSM CLI 生成非对称 RSA 密钥对](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) 命令生成 RSA 私有密钥。
**注意**
可以使用[CloudHSM CLI 中的 crypto verify 类别](cloudhsm_cli-crypto-verify.md)子命令验证签名。 AWS CloudHSM
## 用户类型
以下类型的用户均可运行此命令。
+ 加密用户 (CUs)
## 要求
+ 要运行此命令,必须以 CU 身份登录。
## 语法
```
aws-cloudhsm > help crypto sign rsa-pkcs-pss
Sign with the RSA-PKCS-PSS mechanism
Usage: crypto sign rsa-pkcs-pss [OPTIONS] --key-filter [...] --hash-function --mgf --salt-length <--data-path |--data >
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function [possible values: sha1, sha224, sha256, sha384, sha512]
--data-path The path to the file containing the data to be signed
--data Base64 Encoded data to be signed
--mgf The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
--salt-length The salt length
--approval Filepath of signed quorum token file to approve operation
--data-type The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help Print help
```
## 示例
这些示例说明了如何使用 **crypto sign rsa-pkcs-pss** 通过 `RSA-PKCS-PSS` 签名机制和 `SHA256` 哈希函数生成签名。此命令在 HSM 中使用私有密钥。
**Example 示例:为 base 64 编码的数据生成签名**
```
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
}
}
```
**Example 示例:为数据文件生成签名**
```
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
}
}
```
## 参数
******
要运行此操作的集群的 ID。
必需:如果[已配置](cloudhsm_cli-configs-multi-cluster.md)多个集群。
******
要签名的 Base64 编码数据。
必需:是(除非通过数据路径提供)
******
指定要签名的数据的位置。
必需:是(除非通过数据提供)
******
指定哈希函数。
有效值:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
是否必需:是
******
密钥引用(例如 `key-reference=0xabc`)或空格分隔的密钥属性列表,采用 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式,可选择匹配密钥。
有关支持的 CloudHSM CLI key 密钥属性列表,请参阅“Key attributes for CloudHSM CLI”。
是否必需:是
******
指定掩码生成函数。
掩码生成函数哈希函数必须与签名机制哈希函数相匹配。
有效值:
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
是否必需:是
******
指定 salt 长度。
是否必需:是
******
指定要批准操作的已签名仲裁令牌文件的文件路径。仅当私有密钥的密钥使用服务仲裁值大于 1 时才需要。
******
指定是否应将数据参数的值作为签名算法的一部分进行哈希处理。`raw` 用于未经过哈希处理的数据;`digest` 用于已经过哈希处理的摘要。
有效值:
+ raw
+ 摘要
## 相关主题
+ [CloudHSM CLI 中的 crypto sign 类别](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI 中的 crypto verify 类别](cloudhsm_cli-crypto-verify.md)
## 相关主题
+ [CloudHSM CLI 中的 crypto verify 类别](cloudhsm_cli-crypto-verify.md)