暗号検証 rsa-pkcs-pss - AWS CloudHSM
ユーザーのタイプ要件Syntax引数 関連トピック

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

暗号検証 rsa-pkcs-pss

crypto sign rsa-pkcs-pss コマンドは、次のオペレーションを完了するために使用されます。

  • ファイルが特定のパブリックキーによって HSM で署名されていることを確認します。

  • RSA-PKCS-PSS 署名メカニズムを使用して署名が生成されたことを確認します。

  • 署名付きファイルをソースファイルと比較し、指定された rsa パブリックキーと署名メカニズムに基づいて、その 2 つが暗号的に関連しているかどうかを判断します。

crypto verify rsa-pkcs-pss コマンドを使用するには、まず AWS CloudHSM クラスターに RSA パブリックキーが必要です。verify 属性を に設定して、キーインポート pem コマンド ADD UNWRAP LINK HERE) を使用して RSA パブリックキーをインポートできますtrue

注記

暗号記号 サブコマンドで CloudHSM CLI を使用して署名を生成できます。

ユーザーのタイプ

このコマンドは、次のタイプのユーザーが実行できます。

  • Crypto User (CU)

要件

  • このコマンドを実行するには、CU としてログインする必要があります。

Syntax

aws-cloudhsm > help crypto verify rsa-pkcs-pss
Verify with the RSA-PKCS-PSS mechanism

Usage: crypto verify rsa-pkcs-pss --key-filter [<KEY_FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF> --salt-length >SALT_LENGTH< <--data-path <DATA_PATH>|--data <DATA> <--signature-path <SIGNATURE_PATH>|--signature <SIGNATURE>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --key-filter [<KEY_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
      --hash-function <HASH_FUNCTION>
          [possible values: sha1, sha224, sha256, sha384, sha512]
      --data-path <DATA_PATH>
          The path to the file containing the data to be verified
      --data <DATA>
          Base64 encoded data to be verified
      --signature-path <SIGNATURE_PATH>
          The path to where the signature is located
      --signature <SIGNATURE>
          Base64 encoded signature to be verified
      --mgf <MGF>
          The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
      --salt-length <SALT_LENGTH>
          The salt length
  -h, --help
          Print help

これらの例は、 crypto verify rsa-pkcs-pssを使用して、RSA-PKCS-PSS 署名メカニズムとSHA256ハッシュ関数を使用して生成された署名を検証する方法を示しています。このコマンドは HSM でパブリックキーを使用します。

例: Base64 でエンコードされた署名を Base64 でエンコードされたデータで検証する
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
  "error_code": 0,
  "data": {
    "message": "Signature verified successfully"
  }
}
例: データファイルを使用して署名ファイルを検証する
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256 --signature signature-file
{
  "error_code": 0,
  "data": {
    "message": "Signature verified successfully"
  }
}
例: 偽の署名関係の証明

このコマンドは、RSAPKCSPSS 署名メカニズムrsa-publicを使用して、無効なデータが にある署名を生成するラベル付きのパブリックキーによって署名されたかどうかを確認します/home/signature。指定された引数は真の署名関係を構成しないため、コマンドはエラーメッセージを返します。

aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data aW52YWxpZA== --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
  "error_code": 1,
  "data": "Signature verification failed"
}

引数

<CLUSTER_ID>

このオペレーションを実行するクラスターの ID。

必須: 複数のクラスターが設定されている場合。

<DATA>

署名する Base64 エンコードされたデータ。

必須: はい (データパスで指定される場合を除く)

<DATA_PATH>

署名するデータの場所を指定します。

必須: はい (データパスで指定される場合を除く)

<HASH_FUNCTION>

ハッシュ関数を指定します。

有効値:

  • sha1

  • sha224

  • sha256

  • sha384

  • sha512

必須: はい

<KEY_FILTER>

キーリファレンス (例: key-reference=0xabc)、または一致するキーを選択attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUEするための の形式のキー属性のスペース区切りリスト。

サポートされている CloudHSM CLI キー属性のリストについては、CloudHSM CLI のキー属性」を参照してください。

必須: はい

<MFG>

マスク生成関数を指定します。

注記

マスク生成関数のハッシュ関数は、署名メカニズムのハッシュ関数と一致する必要があります。

有効値:

  • mgf1-sha1

  • mgf1-sha224

  • mgf1-sha256

  • mgf1-sha384

  • mgf1-sha512

必須: はい

<署名>

Base64 でエンコードされた署名。

必須: はい (署名パスで指定されない限り)

<SIGNATURE_PATH>

署名の場所を指定します。

必須: はい (署名パスで指定されない限り)

関連トピック