rsa-pkcs の暗号化検証

crypto verify rsa-pkcs コマンドは、次のオペレーションを完了するために使用されます。

ファイルが特定のパブリックキーによって HSM で署名されていることを確認します。
署名メカニズムを使用してRSA-PKCS署名が生成されたことを確認します。
署名付きファイルをソースファイルと比較し、指定された rsa パブリックキーと署名メカニズムに基づいて、その 2 つが暗号的に関連しているかどうかを判断します。

crypto verify rsa-pkcs コマンドを使用するには、まず AWS CloudHSM クラスターに RSA パブリックキーが必要です。

注記

暗号記号サブコマンドで CloudHSM CLI を使用して署名を生成できます。

ユーザーのタイプ

このコマンドは、次のタイプのユーザーが実行できます。

Crypto User (CU)

要件

このコマンドを実行するには、CU としてログインする必要があります。

Syntax


aws-cloudhsm > help crypto verify rsa-pkcs
Verify with the RSA-PKCS mechanism

Usage: crypto verify rsa-pkcs --key-filter [<KEY_FILTER>...] --hash-function <HASH_FUNCTION> <--data-path <DATA_PATH>|--data <DATA>> <--signature-path <SIGNATURE_PATH>|--signature <SIGNATURE>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --key-filter [<KEY_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
      --hash-function <HASH_FUNCTION>
          [possible values: sha1, sha224, sha256, sha384, sha512]
      --data-path <DATA_PATH>
          The path to the file containing the data to be verified
      --data <DATA>
          Base64 encoded data to be verified
      --signature-path <SIGNATURE_PATH>
          The path to where the signature is located
      --signature <SIGNATURE>
          Base64 encoded signature to be verified
  -h, --help
          Print help

例

これらの例は、 crypto verify rsa-pkcsを使用して、RSA-PKCS 署名メカニズムとSHA256ハッシュ関数を使用して生成された署名を検証する方法を示しています。このコマンドは HSM でパブリックキーを使用します。

例: Base64 でエンコードされた署名を Base64 でエンコードされたデータで検証する


aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data YWJjMTIz --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==
{
  "error_code": 0,
  "data": {
    "message": "Signature verified successfully"
  }
}

例: データファイルを使用して署名ファイルを検証する


aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data-path data.txt --signature-path signature-file
{
  "error_code": 0,
  "data": {
    "message": "Signature verified successfully"
  }
}

例: 偽の署名関係の証明

このコマンドは、RSAPKCS 署名メカニズムrsa-publicを使用してにある署名を生成し、無効なデータがラベル付きのパブリックキーによって署名されたかどうかを確認します/home/signature。指定された引数は真の署名関係を構成しないため、コマンドはエラーメッセージを返します。


aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data aW52YWxpZA== --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==
{
  "error_code": 1,
  "data": "Signature verification failed"
}

引数

<CLUSTER_ID>

このオペレーションを実行するクラスターの ID。

必須: 複数のクラスターが設定されている場合。

＜データ＞

署名する Base64 エンコードデータ。

必須: はい (データパスで指定される場合を除く）

<DATA_PATH>

署名するデータの場所を指定します。

必須: はい (データパスで指定される場合を除く）

<HASH_FUNCTION>

ハッシュ関数を指定します。

有効値:

sha1
sha224
sha256
sha384
sha512

必須: はい

<KEY_FILTER>

一致するキーを選択attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUEするためのキーリファレンス (例: key-reference=0xabc) または形式のキー属性のスペース区切りリスト。

サポートされている CloudHSM CLI キー属性のリストについては、CloudHSM CLI のキー属性」を参照してください。

必須: はい

＜署名＞

Base64 でエンコードされた署名。

必須: はい (署名パスで指定されない限り）

<SIGNATURE_PATH>

署名の場所を指定します。