本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
加密驗證 rsa-pkcs-pss
該crypto sign rsa-pkcs-pss命令用於完成以下操作。
確認檔案已透過指定的公開金鑰在 HSM 中簽署。
確認簽章是否使用 RSA-PKCS-PSS 簽署機制產生。
將已簽署的檔案與來源檔案進行比較,並根據指定的 rsa 公開金鑰和簽章機制,判斷兩者是否與密碼編譯相關。
若要使用此crypto verify rsa-pkcs-pss命令,您必須先在 AWS CloudHSM 叢集中擁有 RSA 公開金鑰。您可以使用密鑰導入 pem 命令導入 RSA 公鑰在此處添加解包鏈接),並將verify屬性設置為。true
注意
您可以使用 CloudHSM CLI 搭配子命令來產生簽章。加密符號
使用者類型
下列類型的使用者可以執行此命令。
-
加密使用者 (CU)
要求
-
若要執行此命令,必須以 CU 的身分登入。
語法
aws-cloudhsm >help crypto verify rsa-pkcs-pssVerify with the RSA-PKCS-PSS mechanism Usage: crypto verify rsa-pkcs-pss --key-filter [<KEY_FILTER>...] --hash-function<HASH_FUNCTION>--mgf<MGF>--salt-length>SALT_LENGTH<<--data-path<DATA_PATH>|--data<DATA> <--signature-path<SIGNATURE_PATH>|--signature<SIGNATURE>> Options: --cluster-id<CLUSTER_ID>Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --key-filter [<KEY_FILTER>...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key --hash-function<HASH_FUNCTION>[possible values: sha1, sha224, sha256, sha384, sha512] --data-path<DATA_PATH>The path to the file containing the data to be verified --data<DATA>Base64 encoded data to be verified --signature-path<SIGNATURE_PATH>The path to where the signature is located --signature<SIGNATURE>Base64 encoded signature to be verified --mgf<MGF>The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512] --salt-length<SALT_LENGTH>The salt length -h, --help Print help
範例
這些範例說明如何用crypto verify rsa-pkcs-pss來驗證使用 RSA-PKCS-PSS 簽署機制和雜湊函數產生的簽章。SHA256此命令使用 HSM 中的公開金鑰。
範例:使用 Base64 編碼資料驗證 Base64 編碼的簽章
aws-cloudhsm >crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=={ "error_code": 0, "data": { "message": "Signature verified successfully" } }
範例:使用資料檔案驗證簽章檔
aws-cloudhsm >crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256 --signature signature-file{ "error_code": 0, "data": { "message": "Signature verified successfully" } }
範例:證明錯誤的簽署關係
此命令驗證無效數據是否通過rsa-public使用 RSAPKCSSS 簽名機制的標籤的公鑰簽名簽署,以產生位於中的簽名。/home/signature由於指定的引數不構成真正的簽署關係,因此命令會傳回錯誤訊息。
aws-cloudhsm >crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data aW52YWxpZA== --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=={ "error_code": 1, "data": "Signature verification failed" }
引數
<CLUSTER_ID>-
執行此作業的叢集識別碼。
必要:如果已設定多個叢集。
<DATA>-
要簽署的 Base64 編碼資料。
必要:是 (除非透過資料路徑提供)
<DATA_PATH>-
指定要簽署之資料的位置。
必要:是 (除非透過資料路徑提供)
<HASH_FUNCTION>-
指定哈希函數。
有效值:
sha1
sha224
sha256
sha384
sha512
必要:是
<KEY_FILTER>-
鍵引用(例如,
key-reference=0xabc)或空格分隔的鍵屬性列表,attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE以的形式選擇匹配的鍵。如需支援的 CloudHSM CLI 金鑰屬性清單,請參閱 CloudHSM CLI 的金鑰屬性。
必要:是
<MFG>-
指定遮罩產生函數。
注意
掩碼生成函數哈希函數必須與簽名機制哈希函數匹配。
有效值:
毫克 1
毫克 1-沙 224
毫克 1-沙 256
毫克 1 沙 384
毫克 1-沙 512
必要:是
<SIGNATURE>-
編碼簽名。
必要:是 (除非透過簽名路徑提供)
<SIGNATURE_PATH>-
指定簽名的位置。
必要:是 (除非透過簽名路徑提供)
相關主題
