在 CloudHSM CLI 中使用 HashEdDSA 機制產生簽章 - AWS CloudHSM
使用者類型要求語法範例引數相關主題

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 CloudHSM CLI 中使用 HashEdDSA 機制產生簽章

重要

僅在非 FIPS 模式下的 hsm2m.medium 執行個體上支援 HashEdDSA 簽署操作。

在 CloudHSM CLI 中使用 crypto sign ed25519ph命令,使用 Ed25519 私有金鑰和 HashEdDSA 簽署機制產生簽章。如需 HashEdDSA 的其他資訊,請參閱 NIST SP 186-5 第 7.8 節。

若要使用 crypto sign ed25519ph命令,您必須先在 AWS CloudHSM 叢集中擁有 Ed25519 私有金鑰。您可以使用 curve 參數設定為 且ed25519sign屬性設定為 的 使用 CloudHSM CLI 產生非對稱 EC 金鑰對命令來產生 Ed25519 私有金鑰true

注意

可以使用CloudHSM CLI 中的加密驗證類別子命令 AWS CloudHSM 在 中驗證簽章。

使用者類型

下列類型的使用者可以執行此命令。

  • 加密使用者 (CU)

要求

  • 若要執行此命令,必須以 CU 的身分登入。

  • 僅在非 FIPS 模式下的 hsm2m.medium 執行個體上支援 HashEdDSA 簽署操作。

語法

aws-cloudhsm > help crypto sign ed25519ph
Sign with the Ed25519ph mechanism

Usage: crypto sign ed25519ph [OPTIONS] --key-filter [<KEY_FILTER>...] --data-type <DATA_TYPE> --hash-function <HASH_FUNCTION> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --key-filter [<KEY_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
      --data-path <DATA_PATH>
          The path to the file containing the data to be signed
      --data <DATA>
          Base64 Encoded data to be signed
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
      --data-type <DATA_TYPE>
          The type of data passed in, either raw or digest [possible values: raw, digest]
      --hash-function <HASH_FUNCTION>
          Hash function [possible values: sha512]
  -h, --help
          Print help

範例

這些範例示範如何使用 Ed25519ph 簽署機制和sha512雜湊函數crypto sign ed25519ph來產生簽章。此命令在 HSM 中使用私有金鑰。

範例範例:產生基礎 64 編碼資料的簽章
aws-cloudhsm > crypto sign ed25519ph \
    --key-filter attr.label=ed25519-private \
    --data-type raw \
    --hash-function sha512 \
    --data YWJj
{
  "error_code": 0,
  "data": {
    "key-reference": "0x0000000000401cdf",
    "signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
  }
}
範例範例:產生資料檔案的簽章
aws-cloudhsm > crypto sign ed25519ph \
    --key-filter attr.label=ed25519-private \
    --data-type raw \
    --hash-function sha512 \
    --data-path data.txt
{
  "error_code": 0,
  "data": {
    "key-reference": "0x0000000000401cdf",
    "signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
  }
}

引數

<CLUSTER_ID>

要執行此操作的叢集 ID。

必要:如果已設定多個叢集。

<DATA>

要簽署的 Base64 編碼資料。

必要:是 (除非透過資料路徑提供)

<DATA_PATH>

指定要簽署的資料位置。

必要:是 (除非透過資料參數提供)

<HASH_FUNCTION>

指定雜湊函數。Ed25519ph 僅支援 SHA512。

有效值:

  • sha512

必要:是

<KEY_FILTER>

索引鍵參考 (例如 key-reference=0xabc) 或以 attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE 格式分隔的索引鍵屬性清單,以選取相符的索引鍵。

如需支援的 CloudHSM CLI 金鑰屬性清單,請參閱 CloudHSM CLI 的金鑰屬性

必要:是

<APPROVAL>

指要核准操作的已簽署規定人數權杖檔案的檔案路徑。只有在私有金鑰的金鑰用量服務規定人數值大於 1 時才需要。

<DATA_TYPE>

指定是否應將資料參數的值雜湊為簽署演算法的一部分。raw 用於未雜湊的資料;digest用於已雜湊的摘要。

有效值:

  • raw

  • 摘要

必要:是

相關主題