AWS CloudHSM KMU を使用してファイルの署名を検証する
AWS CloudHSM key_mgmt_util の verify コマンドで、ファイルが特定のキーによって署名されているかどうかを確認します。その際、verify コマンドは、署名されたファイルをソースファイルと比較し、両ファイルが特定のパブリックキーと署名機構に基づいて暗号的に関連するかどうかを分析します。ファイルには、AWS CloudHSM の sign オペレーションで署名できます。
署名機構は、「パラメータ」セクションにリストされている整数によって表されます。
key_mgmt_util コマンドを実行する前に、key_mgmt_util を起動し、Crypto User (CU) として HSM に ログインする 必要があります。
Syntax
verify -h verify -f<message-file>-s<signature-file>-k<public-key-handle>-m<signature-mechanism>
例
これらの例は、verify を使って、特定のファイルの署名に特定のパブリックキーが使用されたかどうかを確認する方法を示します。
例 : ファイル署名の認証
このコマンドは、hardwarCert.crt というファイルがパブリックキー 262276 と署名機構 SHA256_RSA_PKCS を使って署名され、hardwareCertSigned という署名ファイルが作成されたかどうかの検証を試みます。指定のパラメータが真の署名関係を表すため、コマンドは、成功メッセージを返します。
Command:verify -f hardwareCert.crt -s hardwareCertSigned -k 262276 -m 1Signature verification successful Cfm3Verify returned: 0x00 : HSM Return: SUCCESS
例 : 偽の署名関係を証明する
このコマンドは、hardwareCert.crt というファイルがパブリックキー 262276 と署名機構 SHA256_RSA_PKCS を使って署名され、userCertSigned という署名ファイルが作成されたことを検証します。指定のパラメータが真の署名関係を構成していないため、コマンドは、エラーメッセージを返します。
Command:verify -f hardwarecert.crt -s usercertsigned -k 262276 -m 1Cfm3Verify returned: 0x1b CSP Error: ERR_BAD_PKCS_DATA
パラメータ
このコマンドでは、以下のパラメータを使用します。
-f-
元のメッセージファイルの名前。
必須: はい
-s-
署名したファイルの名前。
必須: はい
-k-
ファイルの署名に使用されたと考えられるパブリックキーのハンドル。
必須: はい
-m-
ファイルの署名に使用するよう提案された署名機構を表す整数。使用可能な署名機構は、次のような整数に対応します。
署名機構
対応する整数
SHA1_RSA_PKCS0
SHA256_RSA_PKCS1
SHA384_RSA_PKCS2
SHA512_RSA_PKCS3
SHA224_RSA_PKCS4
SHA1_RSA_PKCS_PSS5
SHA256_RSA_PKCS_PSS6
SHA384_RSA_PKCS_PSS7
SHA512_RSA_PKCS_PSS8
SHA224_RSA_PKCS_PSS9
ECDSA_SHA115
ECDSA_SHA22416
ECDSA_SHA25617
ECDSA_SHA38418
ECDSA_SHA51219
必須: はい
関連トピック
