使用 Cloud 中的 RSA-PKCS-PSS机制生成签名 HSM CLI

使用 Cloud HSM CLI 中的crypto sign rsa-pkcs-pss命令使用RSA私钥和签名机制生成RSA-PKCS-PSS签名。

要使用该crypto sign rsa-pkcs-pss命令，您必须先在 AWS CloudHSM 集群中拥有RSA私钥。您可以使用sign属性设置为的使用 Cloud 生成非对称RSA密钥对 HSM CLI命令生成RSA私钥true。

注意

可以使用CloudHSM CLI 中的 crypto verify 类别子命令验证签名。 AWS CloudHSM

用户类型

以下类型的用户均可运行此命令。

加密用户 (CUs)

要求

要运行此命令，必须以 CU 身份登录。

语法


aws-cloudhsm > help crypto sign rsa-pkcs-pss
Sign with the RSA-PKCS-PSS mechanism

Usage: crypto sign rsa-pkcs-pss [OPTIONS] --key-filter [<KEY_FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF> --salt-length <SALT_LENGTH> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>        Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --key-filter [<KEY_FILTER>...]   Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
      --hash-function <HASH_FUNCTION>  [possible values: sha1, sha224, sha256, sha384, sha512]
      --data-path <DATA_PATH>          The path to the file containing the data to be signed
      --data <DATA>                    Base64 Encoded data to be signed
      --mgf <MGF>                      The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
      --salt-length <SALT_LENGTH>      The salt length
      --approval <APPROVAL>            Filepath of signed quorum token file to approve operation
  -h, --help                           Print help

示例

这些示例说明了如何使用 crypto sign rsa-pkcs-pss 通过 RSA-PKCS-PSS 签名机制和 SHA256 哈希函数生成签名。此命令使用中的私钥HSM。

例示例：为 base 64 编码的数据生成签名


aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256
{
  "error_code": 0,
  "data": {
    "key-reference": "0x00000000007008db",
    "signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
  }
}

例示例：为数据文件生成签名


aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256
{
  "error_code": 0,
  "data": {
    "key-reference": "0x00000000007008db",
    "signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
  }
}

参数

<CLUSTER_ID>

要运行此操作的集群的 ID。

必需：如果已配置多个集群。

<DATA>

要签名的 Base64 编码数据。

必需：是（除非通过数据路径提供）

<DATA_PATH>

指定要签名的数据的位置。

必需：是（除非通过数据提供）

<HASH_FUNCTION>

指定哈希函数。

有效值：

sha1
sha224
sha256
sha384
sha512

必需：是

<KEY_FILTER>

密钥引用（例如 key-reference=0xabc）或空格分隔的密钥属性列表，采用 attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE 形式，可选择匹配密钥。

有关支持的 Cloud HSM CLI 密钥属性的列表，请参阅 Cloud 的密钥属性HSMCLI。

必需：是

<MGF>

指定掩码生成函数。

注意

掩码生成函数哈希函数必须与签名机制哈希函数相匹配。

有效值：

mgf1-sha1
mgf1-sha224
mgf1-sha256
mgf1-sha384
mgf1-sha512

必需：是

<SALT_LENGTH>

指定 salt 长度。

必需：是

<APPROVAL>

指定要批准操作的已签名仲裁令牌文件的文件路径。仅当私钥的密钥使用服务法定值大于 1 时才需要。

使用 Cloud 中的 RSA-PKCS-PSS机制生成签名 HSM CLI

注意

用户类型

要求

语法

示例

例 示例：为 base 64 编码的数据生成签名

例 示例：为数据文件生成签名

参数

注意

相关 主题

例示例：为 base 64 编码的数据生成签名

例示例：为数据文件生成签名

相关主题