Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Überprüfen Sie eine mit dem ECDSA-Mechanismus signierte Signatur in der CloudHSM-CLI
Verwenden Sie den crypto verify ecdsa Befehl in der CloudHSM-CLI, um die folgenden Vorgänge abzuschließen:
Bestätigen Sie, dass eine Datei im HSM mit einem bestimmten öffentlichen Schlüssel signiert wurde.
Stellen Sie sicher, dass die Signatur mithilfe des ECDSA-Signaturmechanismus generiert wurde.
Vergleichen Sie eine signierte Datei mit einer Quelldatei und stellen Sie anhand eines bestimmten öffentlichen ECDSA-Schlüssels und Signaturmechanismus fest, ob die beiden kryptografisch verwandt sind.
Um den crypto verify ecdsa Befehl verwenden zu können, benötigen Sie zunächst einen öffentlichen EC-Schlüssel in Ihrem Cluster. AWS CloudHSM Sie können einen öffentlichen EC-Schlüssel importieren, indem Sie den Importieren Sie einen Schlüssel im PEM-Format mit der CloudHSM-CLI Befehl verwenden, dessen verify
Attribut auf gesetzt isttrue
.
Anmerkung
Sie können in der CloudHSM-CLI eine Signatur mit Die Kategorie Kryptozeichen in CloudHSM CLI Unterbefehlen generieren.
Benutzertyp
Die folgenden Benutzertypen können diesen Befehl ausführen.
-
Crypto-Benutzer () CUs
Voraussetzungen
-
Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.
Syntax
aws-cloudhsm >
help crypto verify ecdsa
Verify with the ECDSA mechanism Usage: crypto verify ecdsa --key-filter [
<KEY_FILTER>
...] --hash-function<HASH_FUNCTION>
<--data-path<DATA_PATH>
|--data<DATA>
> <--signature-path<SIGNATURE_PATH>
|--signature<SIGNATURE>
> Options: --cluster-id<CLUSTER_ID>
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --key-filter [<KEY_FILTER>
...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key --hash-function<HASH_FUNCTION>
[possible values: sha1, sha224, sha256, sha384, sha512] --data-path<DATA_PATH>
The path to the file containing the data to be verified --data<DATA>
Base64 encoded data to be verified --signature-path<SIGNATURE_PATH>
The path to where the signature is located --signature<SIGNATURE>
Base64 encoded signature to be verified -h, --help Print help
Beispiel
Diese Beispiele zeigen, wie eine Signatur verifiziert werden kann, die mithilfe des ECDSA-Signaturmechanismus und der SHA256
Hash-Funktion generiert wurde. crypto verify ecdsa Dieser Befehl verwendet einen öffentlichen Schlüssel im HSM.
Beispiel: Überprüfen Sie eine Base64-codierte Signatur mit Base64-codierten Daten
aws-cloudhsm >
crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data YWJjMTIz --signature 4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw==
{ "error_code": 0, "data": { "message": "Signature verified successfully" } }
Beispiel: Überprüfen Sie eine Signaturdatei mit einer Datendatei
aws-cloudhsm >
crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data-path data.txt --signature-path signature-file
{ "error_code": 0, "data": { "message": "Signature verified successfully" } }
Beispiel: Nachweis einer falschen Signaturbeziehung
Mit diesem Befehl wird überprüft, ob die unter befindlichen Daten mit einem öffentlichen Schlüssel mit der Bezeichnung signiert /home/data
wurden. Dabei wird der ECDSA-Signaturmechanismus ecdsa-public
verwendet, um die Signatur zu erzeugen, die sich in befindet. /home/signature
Da die angegebenen Argumente keine echte Signaturbeziehung bilden, gibt der Befehl eine Fehlermeldung zurück.
aws-cloudhsm >
crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data aW52YWxpZA== --signature +ogk7M7S3iTqFg3SndJfd91dZFr5Qo6YixJl8JwcvqqVgsVuO6o+VKvTRjz0/V05kf3JJbBLr87Q+wLWcMAJfA==
{ "error_code": 1, "data": "Signature verification failed" }
Argumente
<CLUSTER_ID>
-
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.
Erforderlich: Wenn mehrere Cluster konfiguriert wurden.
<DATA>
-
Base64-kodierte Daten, die signiert werden sollen.
Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)
<DATA_PATH>
-
Gibt den Speicherort der zu signierenden Daten an.
Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)
<HASH_FUNCTION>
-
Gibt die Hash-Funktion an.
Zulässige Werte:
sha1
sha224
sha256
sha384
sha512
Erforderlich: Ja
<KEY_FILTER>
-
Schlüsselreferenz (z. B.
key-reference=0xabc
) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Formattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
zur Auswahl eines passenden Schlüssels.Eine Liste der unterstützten CloudHSM-CLI-Schlüsselattribute finden Sie unter Schlüsselattribute für CloudHSM CLI.
Erforderlich: Ja
<SIGNATURE>
-
Base64-kodierte Signatur.
Erforderlich: Ja (sofern nicht über den Signaturpfad angegeben)
<SIGNATURE_PATH>
-
Gibt den Speicherort der Signatur an.
Erforderlich: Ja (sofern nicht im Signaturpfad angegeben)