verifica crittografica rsa-pkcs-pss

Il crypto sign rsa-pkcs-pss comando viene utilizzato per completare le seguenti operazioni.

• Conferma che un file è stato firmato nell'HSM con una determinata chiave pubblica.

• Verifica che la firma sia stata generata utilizzando il meccanismo di firma RSA-PKCS-PSS.

• Confronta un file firmato con un file sorgente e determina se i due sono correlati crittograficamente in base a una determinata chiave pubblica rsa e a un determinato meccanismo di firma.

Per utilizzare il crypto verify rsa-pkcs-pss comando, è necessario innanzitutto disporre di una chiave pubblica RSA nel cluster. AWS CloudHSM È possibile importare una chiave pubblica RSA utilizzando il comando key import pem (ADD UNWRAP LINK HERE) con l'verifyattributo impostato su. true

Nota

È possibile generare una firma utilizzando la CLI CloudhSM con i sottocomandi. segno crittografico

Tipo di utente

I seguenti tipi di utenti possono eseguire questo comando.

• Utenti di crittografia (CU)

Requisiti

• Per eseguire questo comando, è necessario aver effettuato l'accesso come CU.

Sintassi

aws-cloudhsm > help crypto verify rsa-pkcs-pss
Verify with the RSA-PKCS-PSS mechanism

Usage: crypto verify rsa-pkcs-pss --key-filter [<KEY_FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF> --salt-length <SALT_LENGTH> <--data-path <DATA_PATH>|--data <DATA>> <--signature-path <SIGNATURE_PATH>|--signature <SIGNATURE>>

Options:
      --key-filter [<KEY_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
      --hash-function <HASH_FUNCTION>
          [possible values: sha1, sha224, sha256, sha384, sha512]
      --data-path <DATA_PATH>
          The path to the file containing the data to be verified
      --data <DATA>
          Base64 encoded data to be verified
      --signature-path <SIGNATURE_PATH>
          The path to where the signature is located
      --signature <SIGNATURE>
          Base64 encoded signature to be verified
      --mgf <MGF>
          The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
      --salt-length <SALT_LENGTH>
          The salt length
  -h, --help
          Print help

Esempio

Questi esempi mostrano come verificare una firma generata utilizzando crypto verify rsa-pkcs-pss il meccanismo di firma e la funzione hash RSA-PKCS-PSS. SHA256 Questo comando utilizza una chiave pubblica nell'HSM.

Esempio: verifica una firma codificata Base64 con dati codificati Base64

aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
  "error_code": 0,
  "data": {
    "message": "Signature verified successfully"
  }
}

Esempio: verifica un file di firma con un file di dati

aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256 --signature signature-file
{
  "error_code": 0,
  "data": {
    "message": "Signature verified successfully"
  }
}

Esempio: dimostrare una relazione con falsi firmi

Questo comando verifica se i dati non validi sono stati firmati da una chiave pubblica con l'etichetta rsa-public utilizzando il meccanismo di firma RSAPKCSPSS per produrre la firma che si trova in. /home/signature Poiché gli argomenti forniti non costituiscono una vera relazione di firma, il comando restituisce un messaggio di errore.

aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data aW52YWxpZA== --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
  "error_code": 1,
  "data": "Signature verification failed"
}

Argomenti

<DATA>

Dati codificati Base64 da firmare.

Obbligatorio: Sì (a meno che non sia fornito tramite il percorso dati)

<DATA_PATH>

Specificate la posizione dei dati da firmare.

Obbligatorio: Sì (a meno che non sia fornito tramite il percorso dati)

<HASH_FUNCTION>

Specifica la funzione hash.

Valori validi:

• sha1

• sha224

• sha256

• sha384

• sha512

Campo obbligatorio: sì

<KEY_FILTER>

Riferimento chiave (ad esempio,key-reference=0xabc) o elenco separato da spazi di attributi chiave sotto forma attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE di selezione di una chiave corrispondente.

Per un elenco degli attributi chiave CLI di CloudHSM supportati, consulta Attributi chiave per CloudHSM CLI.

Campo obbligatorio: sì

<MFG>

Specifica la funzione di generazione della maschera.

Nota

La funzione hash della funzione di generazione della maschera deve corrispondere alla funzione hash del meccanismo di firma.

Valori validi:

• mgf1-sha1

• mgf1-sha224

• mgf1-sha256

• mgf1-sha384

• mgf1-sha512

Campo obbligatorio: sì

<SIGNATURE>

Firma codificata Base64.

Obbligatorio: Sì (a meno che non sia fornita tramite il percorso della firma)

<SIGNATURE_PATH>

Specificate la posizione della firma.

Obbligatorio: Sì (a meno che non sia fornito tramite il percorso della firma)

Argomenti correlati

• segno crittografico

• verifica crittografica