vérification cryptographique rsa-pkcs-pss - AWS CloudHSM
Type utilisateurPrérequisSyntaxeExempleArgumentsRubriques en relation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

vérification cryptographique rsa-pkcs-pss

La crypto sign rsa-pkcs-pss commande est utilisée pour effectuer les opérations suivantes.

  • Confirmez qu'un fichier a été signé dans le HSM à l'aide d'une clé publique donnée.

  • Vérifiez que la signature a été générée à l'aide du mécanisme de signature RSA-PKCS-PSS.

  • Comparez un fichier signé à un fichier source et déterminez si les deux sont liés cryptographiquement en fonction d'une clé publique RSA et d'un mécanisme de signature donnés.

Pour utiliser la crypto verify rsa-pkcs-pss commande, vous devez d'abord disposer d'une clé publique RSA dans votre AWS CloudHSM cluster. Vous pouvez importer une clé publique RSA à l'aide de la commande key import pem (ADD UNWRAP LINK HERE) avec l'verifyattribut défini sur. true

Note

Vous pouvez générer une signature à l'aide de la signe cryptographique CLI CloudHSM avec les sous-commandes.

Type utilisateur

Les types d'utilisateur suivants peuvent exécuter cette commande.

  • Utilisateurs de chiffrement (CU)

Prérequis

  • Pour exécuter cette commande, vous devez être connecté en tant que CU.

Syntaxe

aws-cloudhsm > help crypto verify rsa-pkcs-pss
Verify with the RSA-PKCS-PSS mechanism

Usage: crypto verify rsa-pkcs-pss --key-filter [<KEY_FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF> --salt-length >SALT_LENGTH< <--data-path <DATA_PATH>|--data <DATA> <--signature-path <SIGNATURE_PATH>|--signature <SIGNATURE>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --key-filter [<KEY_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
      --hash-function <HASH_FUNCTION>
          [possible values: sha1, sha224, sha256, sha384, sha512]
      --data-path <DATA_PATH>
          The path to the file containing the data to be verified
      --data <DATA>
          Base64 encoded data to be verified
      --signature-path <SIGNATURE_PATH>
          The path to where the signature is located
      --signature <SIGNATURE>
          Base64 encoded signature to be verified
      --mgf <MGF>
          The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
      --salt-length <SALT_LENGTH>
          The salt length
  -h, --help
          Print help

Exemple

Ces exemples montrent comment vérifier une signature générée crypto verify rsa-pkcs-pss à l'aide du mécanisme de signature et de la fonction de hachage RSA-PKCS-PSS. SHA256 Cette commande utilise une clé publique dans le HSM.

Exemple : vérifier une signature codée en Base64 avec des données codées en Base64
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
  "error_code": 0,
  "data": {
    "message": "Signature verified successfully"
  }
}
Exemple : vérifier un fichier de signature avec un fichier de données
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256 --signature signature-file
{
  "error_code": 0,
  "data": {
    "message": "Signature verified successfully"
  }
}
Exemple : prouver une fausse relation de signature

Cette commande vérifie si les données non valides ont été signées par une clé publique avec l'étiquette rsa-public en utilisant le mécanisme de signature RSAPKCSPSS pour produire la signature située dans. /home/signature Comme les arguments fournis ne constituent pas une véritable relation de signature, la commande renvoie un message d'erreur.

aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data aW52YWxpZA== --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
  "error_code": 1,
  "data": "Signature verification failed"
}

Arguments

<CLUSTER_ID>

ID du cluster sur lequel exécuter cette opération.

Obligatoire : si plusieurs clusters ont été configurés.

<DATA>

Données codées en Base64 à signer.

Obligatoire : Oui (sauf indication contraire via le chemin de données)

<DATA_PATH>

Spécifie l'emplacement des données à signer.

Obligatoire : Oui (sauf indication contraire via le chemin de données)

<HASH_FUNCTION>

Spécifie la fonction de hachage.

Valeurs valides :

  • sha1

  • sha224

  • sha256

  • sha384

  • sha512

Obligatoire : oui

<KEY_FILTER>

Référence clé (par exemple,key-reference=0xabc) ou liste séparée par des espaces d'attributs clés sous la forme de attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE pour sélectionner une clé correspondante.

Pour obtenir la liste des attributs clés de la CLI CloudHSM pris en charge, consultez la section Attributs clés de la CLI CloudHSM.

Obligatoire : oui

<MFG>

Spécifie la fonction de génération de masques.

Note

La fonction de hachage de la fonction de génération de masque doit correspondre à la fonction de hachage du mécanisme de signature.

Valeurs valides :

  • mgf1-sha1

  • mgf1-sha225

  • mgf1-sha255

  • mgf1-sha385

  • mgf1-sha512

Obligatoire : oui

<SIGNATURE>

Signature codée en Base64.

Obligatoire : Oui (sauf indication contraire via le chemin de signature)

<SIGNATURE_PATH>

Spécifie l'emplacement de la signature.

Obligatoire : Oui (sauf indication contraire via le chemin de signature)

Rubriques en relation