CloudHSM CLI에서 ECDSA 메커니즘으로 서명된 서명 확인

CloudHSM CLI에서 crypto verify ecdsa 명령을 사용하여 다음 작업을 완료합니다.

지정된 퍼블릭 키로 HSM에서 파일에 서명했는지 확인합니다.
ECDSA 서명 메커니즘을 사용하여 서명이 생성되었는지 확인합니다.
서명된 파일을 소스 파일과 비교하고 지정된 ecdsa 퍼블릭 키와 서명 메커니즘에 기반하여 두 파일이 암호적으로 관련되어 있는지 결정합니다.

crypto verify ecdsa 명령을 사용하려면 먼저 AWS CloudHSM 클러스터에 EC 퍼블릭 키가 있어야 합니다. verify 속성이 true로 설정된 CloudHSM CLI를 사용하여 PEM 형식 키 가져오기 명령을 사용하여 EC 퍼블릭 키를 가져올 수 있습니다.

참고

CloudHSM CLI에서 암호화 서명 범주 하위 명령을 사용하여 CloudHSM CLI에서 서명을 생성할 수 있습니다.

사용자 유형

다음 사용자 유형이 이 명령을 실행할 수 있습니다.

CU(Crypto User)

요구 사항

이 명령을 실행하려면 CU로 로그인해야 합니다.

구문


aws-cloudhsm > help crypto verify ecdsa
Verify with the ECDSA mechanism

Usage: crypto verify ecdsa --key-filter [<KEY_FILTER>...] --hash-function <HASH_FUNCTION> <--data-path <DATA_PATH>|--data <DATA>> <--signature-path <SIGNATURE_PATH>|--signature <SIGNATURE>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --key-filter [<KEY_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
      --hash-function <HASH_FUNCTION>
          [possible values: sha1, sha224, sha256, sha384, sha512]
      --data-path <DATA_PATH>
          The path to the file containing the data to be verified
      --data <DATA>
          Base64 encoded data to be verified
      --signature-path <SIGNATURE_PATH>
          The path to where the signature is located
      --signature <SIGNATURE>
          Base64 encoded signature to be verified
  -h, --help
          Print help

예제

이 예제에서는 crypto verify ecdsa를 사용하여 ECDSA 서명 메커니즘 및 SHA256 해시 함수를 사용하여 생성된 서명을 확인하는 방법을 보여줍니다. 이 명령은 HSM에서 퍼블릭 키를 사용합니다.

예: Base64 인코딩 데이터를 사용하여 Base64 인코딩 서명 확인


aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data YWJjMTIz --signature 4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw==
{
  "error_code": 0,
  "data": {
    "message": "Signature verified successfully"
  }
}

예: 데이터 파일을 사용하여 서명 파일 확인


aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data-path data.txt --signature-path signature-file
{
   "error_code": 0,
  "data": {
    "message": "Signature verified successfully"
  }
}

예: 거짓 서명 관계 입증

이 명령은 /home/data에 있는 데이터가 ECDSA 서명 메커니즘을 사용하여 레이블 ecdsa-public이 있는 퍼블릭 키로 서명되어 /home/signature에 있는 서명을 생성했는지 확인합니다. 주어진 인수가 참 서명 관계를 구성하지 않으므로, 이 명령은 오류 메시지를 반환합니다.


aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data aW52YWxpZA== --signature +ogk7M7S3iTqFg3SndJfd91dZFr5Qo6YixJl8JwcvqqVgsVuO6o+VKvTRjz0/V05kf3JJbBLr87Q+wLWcMAJfA==
{
  "error_code": 1,
  "data": "Signature verification failed"
}

인수

<CLUSTER_ID>

이 작업을 실행할 클러스터의 ID입니다.

필수: 여러 클러스터가 구성된 경우.

<DATA>

서명할 Base64 인코딩 데이터.

필수: 예(데이터 경로를 통해 제공되지 않는 경우)

<DATA_PATH>

서명할 데이터의 위치를 지정합니다.

필수: 예(데이터 경로를 통해 제공되지 않는 경우)

<HASH_FUNCTION>

해시 함수를 지정합니다.

유효한 값:

sha1
sha224
sha256
sha384
sha512

필수 여부: 예

<KEY_FILTER>

키 참조(예: key-reference=0xabc) 또는 일치하는 키를 선택할 수 있는 attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE 형식의 키 속성의 공백으로 구분된 목록.

지원되는 CloudHSM CLI 키 속성 목록은 CloudHSM CLI용 키 속성 섹션을 참조하세요.

필수 여부: 예

<SIGNATURE>

Base64 인코딩된 서명.

필수: 예(서명 경로를 통해 제공되지 않는 경우)

<SIGNATURE_PATH>

서명의 위치를 지정합니다.