CloudHSM CLI에서 RSA-PKCS-PSS 메커니즘으로 서명된 서명 확인 - AWS CloudHSM
사용자 유형요구 사항구문인수관련 주제

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

CloudHSM CLI에서 RSA-PKCS-PSS 메커니즘으로 서명된 서명 확인

CloudHSM CLI에서 crypto sign rsa-pkcs-pss 명령을 사용하여 다음 작업을 완료합니다.

  • 지정된 퍼블릭 키로 HSM에서 파일에 서명했는지 확인합니다.

  • RSA-PKCS-PSS 서명 메커니즘을 사용하여 서명이 생성되었는지 확인합니다.

  • 서명된 파일을 소스 파일과 비교하고 지정된 rsa 퍼블릭 키와 서명 메커니즘에 기반하여 두 파일이 암호적으로 관련되어 있는지 결정합니다.

crypto verify rsa-pkcs-pss 명령을 사용하려면 먼저 AWS CloudHSM 클러스터에 RSA 퍼블릭 키가 있어야 합니다. verify 속성이 true로 설정된 키 가져오기 pem 명령 ADD UNWRAP LINK HERE)를 사용하여 RSA 퍼블릭 키를 가져올 수 있습니다.

참고

CloudHSM CLI에서 암호화 서명 범주 하위 명령과 함께 CloudHSM CLI를 사용하여 서명을 생성할 수 있습니다.

사용자 유형

다음 사용자 유형이 이 명령을 실행할 수 있습니다.

  • CU(Crypto User)

요구 사항

  • 이 명령을 실행하려면 CU로 로그인해야 합니다.

구문

aws-cloudhsm > help crypto verify rsa-pkcs-pss
Verify with the RSA-PKCS-PSS mechanism

Usage: crypto verify rsa-pkcs-pss --key-filter [<KEY_FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF> --salt-length >SALT_LENGTH< <--data-path <DATA_PATH>|--data <DATA> <--signature-path <SIGNATURE_PATH>|--signature <SIGNATURE>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --key-filter [<KEY_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
      --hash-function <HASH_FUNCTION>
          [possible values: sha1, sha224, sha256, sha384, sha512]
      --data-path <DATA_PATH>
          The path to the file containing the data to be verified
      --data <DATA>
          Base64 encoded data to be verified
      --signature-path <SIGNATURE_PATH>
          The path to where the signature is located
      --signature <SIGNATURE>
          Base64 encoded signature to be verified
      --mgf <MGF>
          The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
      --salt-length <SALT_LENGTH>
          The salt length
  -h, --help
          Print help

이 예제에서는 crypto verify rsa-pkcs-pss를 사용하여 RSA-PKCS-PSS 서명 메커니즘 및 SHA256 해시 함수를 사용하여 생성된 서명을 확인하는 방법을 보여줍니다. 이 명령은 HSM에서 퍼블릭 키를 사용합니다.

예: Base64 인코딩 데이터를 사용하여 Base64 인코딩 서명 확인
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
  "error_code": 0,
  "data": {
    "message": "Signature verified successfully"
  }
}
예: 데이터 파일을 사용하여 서명 파일 확인
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256 --signature signature-file
{
  "error_code": 0,
  "data": {
    "message": "Signature verified successfully"
  }
}
예: 거짓 서명 관계 입증

이 명령은 잘못된 데이터가 RSAPKCSPSS 서명 메커니즘을 사용하여 레이블 rsa-public이 있는 퍼블릭 키로 서명되었는지 여부를 확인하여 /home/signature에 있는 서명을 생성합니다. 주어진 인수가 참 서명 관계를 구성하지 않으므로, 이 명령은 오류 메시지를 반환합니다.

aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data aW52YWxpZA== --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
  "error_code": 1,
  "data": "Signature verification failed"
}

인수

<CLUSTER_ID>

이 작업을 실행할 클러스터의 ID입니다.

필수: 여러 클러스터가 구성된 경우.

<DATA>

서명할 Base64 인코딩 데이터.

필수: 예(데이터 경로를 통해 제공되지 않는 경우)

<DATA_PATH>

서명할 데이터의 위치를 지정합니다.

필수: 예(데이터 경로를 통해 제공되지 않는 경우)

<HASH_FUNCTION>

해시 함수를 지정합니다.

유효한 값:

  • sha1

  • sha224

  • sha256

  • sha384

  • sha512

필수 항목 여부: 예

<KEY_FILTER>

키 참조(예: key-reference=0xabc) 또는 일치하는 키를 선택할 수 있는 attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE 형식의 키 속성의 공백으로 구분된 목록.

지원되는 CloudHSM CLI 키 속성 목록은 CloudHSM CLI용 키 속성 섹션을 참조하세요.

필수 항목 여부: 예

<MFG>

마스크 생성 함수를 지정합니다.

참고

마스크 생성 함수 해시 함수는 서명 메커니즘 해시 함수와 일치해야 합니다.

유효한 값:

  • mgf1-sha1

  • mgf1-sha224

  • mgf1-sha256

  • mgf1-sha384

  • mgf1-sha512

필수 항목 여부: 예

<SIGNATURE>

Base64 인코딩된 서명.

필수: 예(서명 경로를 통해 제공되지 않는 경우)

<SIGNATURE_PATH>

서명의 위치를 지정합니다.

필수: 예(서명 경로를 통해 제공되지 않는 경우)

관련 주제