Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
verifica crittografica rsa-pkcs-pss
Il crypto sign rsa-pkcs-pss comando viene utilizzato per completare le seguenti operazioni.
Conferma che un file è stato firmato nell'HSM con una determinata chiave pubblica.
Verifica che la firma sia stata generata utilizzando il meccanismo di firma RSA-PKCS-PSS.
Confronta un file firmato con un file sorgente e determina se i due sono correlati crittograficamente in base a una determinata chiave pubblica rsa e a un determinato meccanismo di firma.
Per utilizzare il crypto verify rsa-pkcs-pss comando, è necessario innanzitutto disporre di una chiave pubblica RSA nel cluster. AWS CloudHSM È possibile importare una chiave pubblica RSA utilizzando il comando key import pem (ADD UNWRAP LINK HERE) con l'verify
attributo impostato su. true
Nota
È possibile generare una firma utilizzando la CLI CloudhSM con i sottocomandi. segno crittografico
Tipo di utente
I seguenti tipi di utenti possono eseguire questo comando.
-
Utenti di crittografia (CU)
Requisiti
-
Per eseguire questo comando, è necessario aver effettuato l'accesso come CU.
Sintassi
aws-cloudhsm >
help crypto verify rsa-pkcs-pss
Verify with the RSA-PKCS-PSS mechanism Usage: crypto verify rsa-pkcs-pss --key-filter [<KEY_FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF> --salt-length <SALT_LENGTH> <--data-path <DATA_PATH>|--data <DATA>> <--signature-path <SIGNATURE_PATH>|--signature <SIGNATURE>> Options: --key-filter [<KEY_FILTER>...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key --hash-function <HASH_FUNCTION> [possible values: sha1, sha224, sha256, sha384, sha512] --data-path <DATA_PATH> The path to the file containing the data to be verified --data <DATA> Base64 encoded data to be verified --signature-path <SIGNATURE_PATH> The path to where the signature is located --signature <SIGNATURE> Base64 encoded signature to be verified --mgf <MGF> The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512] --salt-length <SALT_LENGTH> The salt length -h, --help Print help
Esempio
Questi esempi mostrano come verificare una firma generata utilizzando crypto verify rsa-pkcs-pss il meccanismo di firma e la funzione hash RSA-PKCS-PSS. SHA256
Questo comando utilizza una chiave pubblica nell'HSM.
Esempio: verifica una firma codificata Base64 con dati codificati Base64
aws-cloudhsm >
crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{ "error_code": 0, "data": { "message": "Signature verified successfully" } }
Esempio: verifica un file di firma con un file di dati
aws-cloudhsm >
crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256 --signature signature-file
{ "error_code": 0, "data": { "message": "Signature verified successfully" } }
Esempio: dimostrare una relazione con falsi firmi
Questo comando verifica se i dati non validi sono stati firmati da una chiave pubblica con l'etichetta rsa-public
utilizzando il meccanismo di firma RSAPKCSPSS per produrre la firma che si trova in. /home/signature
Poiché gli argomenti forniti non costituiscono una vera relazione di firma, il comando restituisce un messaggio di errore.
aws-cloudhsm >
crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data aW52YWxpZA== --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{ "error_code": 1, "data": "Signature verification failed" }
Argomenti
<DATA>
-
Dati codificati Base64 da firmare.
Obbligatorio: Sì (a meno che non sia fornito tramite il percorso dati)
<DATA_PATH>
-
Specificate la posizione dei dati da firmare.
Obbligatorio: Sì (a meno che non sia fornito tramite il percorso dati)
<HASH_FUNCTION>
-
Specifica la funzione hash.
Valori validi:
sha1
sha224
sha256
sha384
sha512
Campo obbligatorio: sì
<KEY_FILTER>
-
Riferimento chiave (ad esempio,
key-reference=0xabc
) o elenco separato da spazi di attributi chiave sotto formaattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
di selezione di una chiave corrispondente.Per un elenco degli attributi chiave CLI di CloudHSM supportati, consulta Attributi chiave per CloudHSM CLI.
Campo obbligatorio: sì
<MFG>
-
Specifica la funzione di generazione della maschera.
Nota
La funzione hash della funzione di generazione della maschera deve corrispondere alla funzione hash del meccanismo di firma.
Valori validi:
mgf1-sha1
mgf1-sha224
mgf1-sha256
mgf1-sha384
mgf1-sha512
Campo obbligatorio: sì
<SIGNATURE>
-
Firma codificata Base64.
Obbligatorio: Sì (a meno che non sia fornita tramite il percorso della firma)
<SIGNATURE_PATH>
-
Specificate la posizione della firma.
Obbligatorio: Sì (a meno che non sia fornito tramite il percorso della firma)