加密标志 rsa-pkcs-pss - AWS CloudHSM
用户类型要求语法示例参数相关 主题

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

加密标志 rsa-pkcs-pss

crypto sign rsa-pkcs-pss命令使用 RSA 私钥和签名机制生成RSA-PKCS-PSS签名。

要使用该crypto sign rsa-pkcs-pss命令,您的 AWS CloudHSM 集群中必须首先有一个 RSA 私钥。您可以使用sign属性设置为的密钥 generate-asymmetric-pair rsa命令生成 RSA 私钥。true

注意

可以使用加密验证子命令验证签名。 AWS CloudHSM

用户类型

以下类型的用户均可运行此命令。

  • 加密用户(CU)

要求

  • 要运行此命令,必须以 CU 身份登录。

语法

aws-cloudhsm > help crypto sign rsa-pkcs-pss
Sign with the RSA-PKCS-PSS mechanism

Usage: crypto sign rsa-pkcs-pss [OPTIONS] --key-filter [<KEY_FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF> --salt-length <SALT_LENGTH> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>        Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --key-filter [<KEY_FILTER>...]   Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
      --hash-function <HASH_FUNCTION>  [possible values: sha1, sha224, sha256, sha384, sha512]
      --data-path <DATA_PATH>          The path to the file containing the data to be signed
      --data <DATA>                    Base64 Encoded data to be signed
      --mgf <MGF>                      The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
      --salt-length <SALT_LENGTH>      The salt length
  -h, --help                           Print help

示例

这些示例说明crypto sign rsa-pkcs-pss如何使用签名机制和SHA256哈希函数生成RSA-PKCS-PSS签名。此命令在 HSM 中使用私钥。

例 示例:为 base 64 编码的数据生成签名
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256
{
  "error_code": 0,
  "data": {
    "key-reference": "0x00000000007008db",
    "signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
  }
}
例 示例:为数据文件生成签名
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256
{
  "error_code": 0,
  "data": {
    "key-reference": "0x00000000007008db",
    "signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
  }
}

参数

<CLUSTER_ID>

要运行此操作的集群的 ID。

必需:如果已配置多个集群。

<DATA>

要签名的 Base64 编码数据。

必填项:是(除非通过数据路径提供)

<DATA_PATH>

指定要签名的数据的位置。

必填项:是(除非通过数据提供)

<HASH_FUNCTION>

指定哈希函数。

有效值:

  • sha1

  • sha224

  • sha256

  • sha384

  • sha512

必需:是

<KEY_FILTER>

按键引用(例如key-reference=0xabc)或以空格分隔的按键属性列表,attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE以选择匹配的密钥。

有关支持的 CloudHSM CLI 密钥属性的列表,请参阅 CloudHSM CLI 的关键属性。

必需:是

<MGF>

指定蒙版生成函数。

注意

掩码生成函数哈希函数必须与签名机制哈希函数相匹配。

有效值:

  • mgf1-sha1

  • mgf1-sha224

  • mgf1-sha256

  • mgf1-sha384

  • mgf1-sha512

必需:是

<SALT_LENGTH>

指定盐的长度。

必需:是

相关 主题