ECDSA の暗号化検証 - AWS CloudHSM
ユーザーのタイプ要件Syntax引数 関連トピック

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ECDSA の暗号化検証

crypto verify ecdsa コマンドは、次のオペレーションを完了するために使用されます。

  • 特定のパブリックキーによって HSM でファイルが署名されていることを確認します。

  • ECDSA 署名メカニズムを使用して署名が生成されたことを確認します。

  • 署名付きファイルをソースファイルと比較し、特定の ecdsa パブリックキーと署名メカニズムに基づいて、その 2 つが暗号的に関連しているかどうかを判断します。

crypto verify ecdsa コマンドを使用するには、まず AWS CloudHSM クラスターに EC パブリックキーが必要です。verify 属性を に設定して キーインポート pem コマンドを使用して EC パブリックキーをインポートできますtrue

注記

暗号記号 サブコマンドを使用して CloudHSM CLI で署名を生成できます。

ユーザーのタイプ

このコマンドは、次のタイプのユーザーが実行できます。

  • Crypto User (CU)

要件

  • このコマンドを実行するには、CU としてログインする必要があります。

Syntax

aws-cloudhsm > help crypto verify ecdsa
Verify with the ECDSA mechanism

Usage: crypto verify ecdsa --key-filter [<KEY_FILTER>...] --hash-function <HASH_FUNCTION> <--data-path <DATA_PATH>|--data <DATA>> <--signature-path <SIGNATURE_PATH>|--signature <SIGNATURE>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --key-filter [<KEY_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
      --hash-function <HASH_FUNCTION>
          [possible values: sha1, sha224, sha256, sha384, sha512]
      --data-path <DATA_PATH>
          The path to the file containing the data to be verified
      --data <DATA>
          Base64 encoded data to be verified
      --signature-path <SIGNATURE_PATH>
          The path to where the signature is located
      --signature <SIGNATURE>
          Base64 encoded signature to be verified
  -h, --help
          Print help

これらの例は、 crypto verify ecdsaを使用して ECDSA 署名メカニズムとSHA256ハッシュ関数を使用して生成された署名を検証する方法を示しています。このコマンドは HSM でパブリックキーを使用します。

例: Base64 でエンコードされた署名を Base64 でエンコードされたデータで検証する
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data YWJjMTIz --signature 4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw==
{
  "error_code": 0,
  "data": {
    "message": "Signature verified successfully"
  }
}
例: データファイルを使用して署名ファイルを検証する
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data-path data.txt --signature-path signature-file
{
   "error_code": 0,
  "data": {
    "message": "Signature verified successfully"
  }
}
例: 偽の署名関係の証明

このコマンドは、 にある署名を生成する ECDSA 署名メカニズムecdsa-publicを使用して、 にあるデータが ラベルを持つパブリックキーによって署名/home/dataされたかどうかを確認します/home/signature。指定された引数は真の署名関係を構成しないため、コマンドはエラーメッセージを返します。

aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data aW52YWxpZA== --signature +ogk7M7S3iTqFg3SndJfd91dZFr5Qo6YixJl8JwcvqqVgsVuO6o+VKvTRjz0/V05kf3JJbBLr87Q+wLWcMAJfA==
{
  "error_code": 1,
  "data": "Signature verification failed"
}

引数

<CLUSTER_ID>

このオペレーションを実行するクラスターの ID。

必須: 複数のクラスターが設定されている場合。

<DATA>

署名する Base64 エンコードデータ。

必須: はい (データパスで指定される場合を除く)

<DATA_PATH>

署名するデータの場所を指定します。

必須: はい (データパスで指定される場合を除く)

<HASH_FUNCTION>

ハッシュ関数を指定します。

有効値:

  • sha1

  • sha224

  • sha256

  • sha384

  • sha512

必須: はい

<KEY_FILTER>

キーリファレンス (例: key-reference=0xabc)、または一致するキーを選択attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUEするための の形式のキー属性のスペース区切りリスト。

サポートされている CloudHSM CLI キー属性のリストについては、CloudHSM CLI のキー属性」を参照してください。

必須: はい

<署名>

Base64 でエンコードされた署名。

必須: はい (署名パスで指定される場合を除く)

<SIGNATURE_PATH>

署名の場所を指定します。

必須: はい (署名パスで指定される場合を除く)

関連トピック