Cloud で RSA-PKCS-PSSメカニズムを使用して署名を生成するHSM CLI - AWS CloudHSM
ユーザーのタイプ要件Syntax引数関連トピック

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Cloud で RSA-PKCS-PSSメカニズムを使用して署名を生成するHSM CLI

CloudHSM の crypto sign rsa-pkcs-pss コマンドCLIを使用して、RSAプライベートキーと署名メカニズムを使用してRSA-PKCS-PSS署名を生成します。

crypto sign rsa-pkcs-pss コマンドを使用するには、まず AWS CloudHSM クラスターにRSAプライベートキーが必要です。sign 属性を に設定して、 Cloud で非対称RSAキーペアを生成するHSM CLI コマンドを使用してRSAプライベートキーを生成できますtrue

注記

署名は、 でCloud の暗号化検証カテゴリHSM CLIサブコマンド AWS CloudHSM を使用して検証できます。

ユーザーのタイプ

このコマンドは、次のタイプのユーザーが実行できます。

  • Crypto ユーザー (CUs)

要件

  • このコマンドを実行するには、CU としてログインする必要があります。

Syntax

aws-cloudhsm > help crypto sign rsa-pkcs-pss
Sign with the RSA-PKCS-PSS mechanism

Usage: crypto sign rsa-pkcs-pss [OPTIONS] --key-filter [<KEY_FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF> --salt-length <SALT_LENGTH> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>        Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --key-filter [<KEY_FILTER>...]   Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
      --hash-function <HASH_FUNCTION>  [possible values: sha1, sha224, sha256, sha384, sha512]
      --data-path <DATA_PATH>          The path to the file containing the data to be signed
      --data <DATA>                    Base64 Encoded data to be signed
      --mgf <MGF>                      The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
      --salt-length <SALT_LENGTH>      The salt length
  -h, --help                           Print help

これらの例は、 crypto sign rsa-pkcs-pssを使用して署名メカニズムとSHA256ハッシュ関数を使用してRSA-PKCS-PSS署名を生成する方法を示しています。このコマンドは、 でプライベートキーを使用しますHSM。

例: ベース 64 エンコードされたデータの署名を生成する
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256
{
  "error_code": 0,
  "data": {
    "key-reference": "0x00000000007008db",
    "signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
  }
}
例: データファイルの署名を生成する
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256
{
  "error_code": 0,
  "data": {
    "key-reference": "0x00000000007008db",
    "signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
  }
}

引数

<CLUSTER_ID>

このオペレーションを実行するクラスターの ID。

必須: 複数のクラスターが設定されている場合。

<DATA>

署名される Base64 エンコードされたデータ。

必須: はい (データパスを通じて提供される場合を除く)

<DATA_PATH>

署名するデータの場所を指定します。

必須: はい (データを通じて提供される場合を除く)

<HASH_FUNCTION>

ハッシュ関数を指定します。

有効な値:

  • sha1

  • sha224

  • sha256

  • sha384

  • sha512

必須:はい

<KEY_FILTER>

キーリファレンス ( などkey-reference=0xabc) または 形式のキー属性のスペース区切りリストattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUEを使用して、一致するキーを選択します。

サポートされているクラウドHSMCLIキー属性のリストについては、「クラウドHSM のキー属性」を参照してくださいCLI。

必須:はい

<MGF>

マスク生成関数を指定します。

注記

マスク生成関数のハッシュ関数は、署名メカニズムのハッシュ関数と一致する必要があります。

有効な値:

  • mgf1-sha1

  • mgf1-sha224

  • mgf1-sha256

  • mgf1-sha384

  • mgf1-sha512

必須:はい

<SALT_LENGTH>

ソルトの長さを指定します。

必須: はい

関連トピック