Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
kryptoverifizieren rsa-pkcs-pss
Der crypto sign rsa-pkcs-pss Befehl wird verwendet, um die folgenden Operationen abzuschließen.
Bestätigen Sie, dass eine Datei im HSM mit einem bestimmten öffentlichen Schlüssel signiert wurde.
Stellen Sie sicher, dass die Signatur mithilfe des RSA-PKCS-PSS-Signaturmechanismus generiert wurde.
Vergleicht eine signierte Datei mit einer Quelldatei und ermittelt anhand eines bestimmten öffentlichen RSA-Schlüssels und Signaturmechanismus, ob die beiden kryptografisch verwandt sind.
Um den crypto verify rsa-pkcs-pss Befehl verwenden zu können, müssen Sie zunächst über einen öffentlichen RSA-Schlüssel in Ihrem Cluster verfügen. AWS CloudHSM Sie können einen öffentlichen RSA-Schlüssel mit dem Befehl key import pem (ADD UNWRAP LINK HERE) importieren, wobei das verify
Attribut auf gesetzt ist. true
Anmerkung
Sie können mithilfe der CloudHSM-CLI mit den Unterbefehlen eine Signatur generieren. Krypto-Zeichen
Benutzertyp
Die folgenden Benutzertypen können diesen Befehl ausführen.
-
Crypto-Benutzer (CUs)
Voraussetzungen
-
Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.
Syntax
aws-cloudhsm >
help crypto verify rsa-pkcs-pss
Verify with the RSA-PKCS-PSS mechanism Usage: crypto verify rsa-pkcs-pss --key-filter [
<KEY_FILTER>
...] --hash-function<HASH_FUNCTION>
--mgf<MGF>
--salt-length>SALT_LENGTH<
<--data-path<DATA_PATH>
|--data<DATA
> <--signature-path<SIGNATURE_PATH>
|--signature<SIGNATURE>
> Options: --cluster-id<CLUSTER_ID>
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --key-filter [<KEY_FILTER>
...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key --hash-function<HASH_FUNCTION>
[possible values: sha1, sha224, sha256, sha384, sha512] --data-path<DATA_PATH>
The path to the file containing the data to be verified --data<DATA>
Base64 encoded data to be verified --signature-path<SIGNATURE_PATH>
The path to where the signature is located --signature<SIGNATURE>
Base64 encoded signature to be verified --mgf<MGF>
The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512] --salt-length<SALT_LENGTH>
The salt length -h, --help Print help
Beispiel
Diese Beispiele zeigen, wie eine Signatur verifiziert wirdcrypto verify rsa-pkcs-pss, die mit dem RSA-PKCS-PSS-Signiermechanismus und der Hash-Funktion generiert wurde. SHA256
Dieser Befehl verwendet einen öffentlichen Schlüssel im HSM.
Beispiel: Überprüfen Sie eine Base64-codierte Signatur mit Base64-codierten Daten
aws-cloudhsm >
crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{ "error_code": 0, "data": { "message": "Signature verified successfully" } }
Beispiel: Verifizieren Sie eine Signaturdatei mit einer Datendatei
aws-cloudhsm >
crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256 --signature signature-file
{ "error_code": 0, "data": { "message": "Signature verified successfully" } }
Beispiel: Nachweis einer falschen Signaturbeziehung
Mit diesem Befehl wird überprüft, ob die ungültigen Daten mit einem öffentlichen Schlüssel mit der Bezeichnung signiert wurden. Dabei wird der RSAPKCSPSS-Signaturmechanismus rsa-public
verwendet, um die Signatur zu erzeugen, die sich in befindet. /home/signature
Da die angegebenen Argumente keine echte Signaturbeziehung bilden, gibt der Befehl eine Fehlermeldung zurück.
aws-cloudhsm >
crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data aW52YWxpZA== --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{ "error_code": 1, "data": "Signature verification failed" }
Argumente
<CLUSTER_ID>
-
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.
Erforderlich: Wenn mehrere Cluster konfiguriert wurden.
<DATA>
-
Base64-kodierte Daten, die signiert werden sollen.
Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)
<DATA_PATH>
-
Gibt den Speicherort der zu signierenden Daten an.
Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)
<HASH_FUNCTION>
-
Spezifiziert die Hash-Funktion.
Zulässige Werte:
sha1
sha224
sha256
sha384
sha512
Erforderlich: Ja
<KEY_FILTER>
-
Schlüsselreferenz (z. B.
key-reference=0xabc
) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Formattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
zur Auswahl eines passenden Schlüssels.Eine Liste der unterstützten CloudHSM-CLI-Schlüsselattribute finden Sie unter Schlüsselattribute für CloudHSM CLI.
Erforderlich: Ja
<MFG>
-
Definiert die Funktion zur Maskengenerierung.
Anmerkung
Die Hash-Funktion der Maskengenerierungsfunktion muss mit der Hash-Funktion des Signaturmechanismus übereinstimmen.
Zulässige Werte:
mgf1-sha1
mgf1-sha224
mgf1-sha256
mgf1-sha384
mgf1-sha512
Erforderlich: Ja
<SIGNATURE>
-
Base64-codierte Signatur.
Erforderlich: Ja (sofern nicht über den Signaturpfad angegeben)
<SIGNATURE_PATH>
-
Gibt den Ort der Signatur an.
Erforderlich: Ja (sofern nicht über den Signaturpfad angegeben)