本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS CloudHSM KMU 驗證檔案的簽章
使用 AWS CloudHSM key_mgmt_util 中的 verify命令來確認檔案是否已由指定的金鑰簽署。若要進行這些操作,verify 命令會依照來源檔案比較簽署的檔案,然後根據指定的公有金鑰和簽署機制,分析檔案是否在密碼編譯上相關。檔案可以使用 AWS CloudHSM sign操作登入。
參數機制以列於參數區段中的整數代表。
執行任何 key_mgmt_util 命令之前,您必須先啟動 key_mgmt_util 並以加密使用者 (CU) 的身分登入 HSM。
語法
verify -h verify -f<message-file>-s<signature-file>-k<public-key-handle>-m<signature-mechanism>
範例
這些範例顯示如何使用 verify 來檢查特定公有金鑰是否用於簽署指定的檔案。
範例 :驗證文件簽名
此命令會嘗試驗證是否使用 SHA256_RSA_PKCS 簽署機制產生 hardwareCertSigned 簽署檔案,以公有金鑰 262276 簽署名為 hardwarCert.crt 的檔案。由於指定的參數代表真實的簽署關係,因此命令會傳回成功訊息。
Command:verify -f hardwareCert.crt -s hardwareCertSigned -k 262276 -m 1Signature verification successful Cfm3Verify returned: 0x00 : HSM Return: SUCCESS
範例 :證明 False 簽署關係
此命令驗證是否使用 SHA256_RSA_PKCS 簽署機制產生 userCertSigned 簽署檔案,以公有金鑰 262276 簽署名為 hardwareCert.crt 的檔案。由於指定的參數並未組成真實的簽署關係,因此命令會傳回錯誤訊息。
Command:verify -f hardwarecert.crt -s usercertsigned -k 262276 -m 1Cfm3Verify returned: 0x1b CSP Error: ERR_BAD_PKCS_DATA
參數
此命令會使用下列參數。
-f-
原始訊息檔案名稱。
必要:是
-s-
簽署檔案的名稱。
必要:是
-k-
被視為是用來簽署檔案的公有金鑰控制代碼。
必要:是
-m-
整數代表用來簽署檔案之提出的簽署機制。對應下列整數的可能機制:
簽署機制
對應整數
SHA1_RSA_PKCS0
SHA256_RSA_PKCS1
SHA384_RSA_PKCS2
SHA512_RSA_PKCS3
SHA224_RSA_PKCS4
SHA1_RSA_PKCS_PSS5
SHA256_RSA_PKCS_PSS6
SHA384_RSA_PKCS_PSS7
SHA512_RSA_PKCS_PSS8
SHA224_RSA_PKCS_PSS9
ECDSA_SHA115
ECDSA_SHA22416
ECDSA_SHA25617
ECDSA_SHA38418
ECDSA_SHA51219
必要:是
相關主題
