Verifizieren Sie eine Signatur, die mit dem RSA PKCS -Mechanismus in der Cloud signiert wurde HSM CLI - AWS CloudHSM
BenutzertypVoraussetzungenSyntaxBeispielArgumenteVerwandte Themen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verifizieren Sie eine Signatur, die mit dem RSA PKCS -Mechanismus in der Cloud signiert wurde HSM CLI

Verwenden Sie den crypto verify rsa-pkcs Befehl in Cloud, HSM CLI um die folgenden Vorgänge abzuschließen:

  • Bestätigen Sie, dass eine Datei HSM mit einem bestimmten öffentlichen Schlüssel signiert wurde.

  • Stellen Sie sicher, dass die Signatur mithilfe des RSA-PKCS Signaturmechanismus generiert wurde.

  • Vergleicht eine signierte Datei mit einer Quelldatei und ermittelt anhand eines bestimmten öffentlichen RSA-Schlüssels und Signaturmechanismus, ob die beiden kryptografisch verwandt sind.

Um den crypto verify rsa-pkcs Befehl verwenden zu können, müssen Sie zunächst über einen RSA öffentlichen Schlüssel in Ihrem Cluster verfügen. AWS CloudHSM

Anmerkung

Sie können mithilfe der Cloud HSM CLI mit den Die Kategorie Kryptozeichen in der Cloud HSM CLI Unterbefehlen eine Signatur generieren.

Benutzertyp

Die folgenden Benutzertypen können diesen Befehl ausführen.

  • Crypto-Benutzer () CUs

Voraussetzungen

  • Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

Syntax

aws-cloudhsm > help crypto verify rsa-pkcs
Verify with the RSA-PKCS mechanism

Usage: crypto verify rsa-pkcs --key-filter [<KEY_FILTER>...] --hash-function <HASH_FUNCTION> <--data-path <DATA_PATH>|--data <DATA>> <--signature-path <SIGNATURE_PATH>|--signature <SIGNATURE>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --key-filter [<KEY_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
      --hash-function <HASH_FUNCTION>
          [possible values: sha1, sha224, sha256, sha384, sha512]
      --data-path <DATA_PATH>
          The path to the file containing the data to be verified
      --data <DATA>
          Base64 encoded data to be verified
      --signature-path <SIGNATURE_PATH>
          The path to where the signature is located
      --signature <SIGNATURE>
          Base64 encoded signature to be verified
  -h, --help
          Print help

Beispiel

Diese Beispiele zeigen, wie eine Signatur verifiziert werden kann, die mithilfe des RSA PKCS Signaturmechanismus und der SHA256 Hash-Funktion generiert wurde. crypto verify rsa-pkcs Dieser Befehl verwendet einen öffentlichen Schlüssel in derHSM.

Beispiel: Überprüfen Sie eine Base64-codierte Signatur mit Base64-codierten Daten
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data YWJjMTIz --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==
{
  "error_code": 0,
  "data": {
    "message": "Signature verified successfully"
  }
}
Beispiel: Überprüfen Sie eine Signaturdatei mit einer Datendatei
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data-path data.txt --signature-path signature-file
{
  "error_code": 0,
  "data": {
    "message": "Signature verified successfully"
  }
}
Beispiel: Nachweis einer falschen Signaturbeziehung

Mit diesem Befehl wird überprüft, ob die ungültigen Daten mit einem öffentlichen Schlüssel mit der Bezeichnung signiert wurden. Dabei wird der Signaturmechanismus zur Erzeugung der RSAPKCS Signatur rsa-public verwendet, der sich in /home/signature befindet. Da die angegebenen Argumente keine echte Signaturbeziehung bilden, gibt der Befehl eine Fehlermeldung zurück.

aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data aW52YWxpZA== --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==
{
  "error_code": 1,
  "data": "Signature verification failed"
}

Argumente

<CLUSTER_ID>

Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.

Erforderlich: Wenn mehrere Cluster konfiguriert wurden.

<DATA>

Base64-kodierte Daten, die signiert werden sollen.

Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)

<DATA_PATH>

Gibt den Speicherort der zu signierenden Daten an.

Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)

<HASH_FUNCTION>

Gibt die Hash-Funktion an.

Zulässige Werte:

  • sha1

  • sha224

  • sha256

  • sha384

  • sha512

Erforderlich: Ja

<KEY_FILTER>

Schlüsselreferenz (z. B.key-reference=0xabc) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE zur Auswahl eines passenden Schlüssels.

Eine Liste der unterstützten HSM CLI Cloud-Schlüsselattribute finden Sie unter Schlüsselattribute für Cloud HSMCLI.

Erforderlich: Ja

<SIGNATURE>

Base64-codierte Signatur.

Erforderlich: Ja (sofern nicht über den Signaturpfad angegeben)

<SIGNATURE_PATH>

Gibt den Speicherort der Signatur an.

Erforderlich: Ja (sofern nicht im Signaturpfad angegeben)

Verwandte Themen