Skip to main content

署名を管理する

このセクションでは、SMCTL で署名を管理するために使用するコマンドについてカバーします。これらのコマンドは、署名、署名の検証、および署名の削除です。フラグを使用してコマンドのパラメータを指定します。

注記

SHA3 digest signing and verification is not currently supported for RSA keys.

前提条件

Sign commands begin with:

smctl sign in-toto <subcommand>

Subcommands

The sign command supports these subcommands:

1. Subcommands for managing signatures

Shortcut

Subcommand

Description

cyclonedx

Sign CycloneDX JSON SBOMs using In-toto functionality.

spdx

Sign SPDX JSON SBOMs using In-toto functionality.

verify

Verify JSON SBOMs using In-toto functionality

-h

--help

Help for in-toto commands.


署名を削除する

以下で始まる署名コマンドを削除します。

smctl sign in-toto cyclonedx <sbom file path> <keypair ID or alias>

フラグ

署名を削除するコマンドは、以下のフラグをサポートしています。

2. 署名を削除するフラグ

ショートカット

フラグ

説明

 

--artifact-digest string

ファイルまたはフォルダを指定します。フォルダを指定すると、そのフォルダ内のすべてのファイルの署名が削除されます(signtool のみサポート)。

--hash-algorithm string

Hash algorithm for the signature (default "SHA256").

注記

SHA3 digest signing is not currently supported for RSA keys.

--signed-file string

File name of the signed SBOM (default "signed_"+InputFileName)

-h

--help

削除に関するヘルプ。


説明: 指定されたファイルまたは指定されたフォルダ内のファイルの電子署名を削除します。

コマンド:

smctl sign in-toto cyclonedx <sbom file path> <keypair ID or alias>

コマンドの例:

smctl sign in-toto cyclonedx  C:\Workspace\sbom-signing\golang.cyclonedx.json fcfecdeb-4412-4796-962a-1c135948a15f

Sign SPDX JSON SBOMs

Sign SPDX JSON SBOMs commands begins with:

smctl sign in-toto cyclonedx <sbom file path> <keypair ID or alias>

Flags

The SPDX signature command supports these flags:

3. Flags for signing SPDX JSON SBOMs

Shortcut

Flag

Description

--artifact-digest string

SHA256 digest of the artifact for which this SBOM was generated.

--hash-algorithm string

Hash algorithm for the signature (default "SHA256").

注記

SHA3 digest signing is not currently supported for RSA keys.

--signed-file string

File name of the signed SBOM (default "signed_"+InputFileName)

-h

--help

Help for signing SPDX JSON SBOMs.


Example

Description: Sign SPDX JSON SBOM.

Command:

smctl sign in-toto spdx <sbom file path> <keypair ID or alias>

Command sample:

smctl sign in-toto spdx C:\Workspace\sbom-signing\golang.spdx.json 30dbb169-b120-4df6-b8fc-16e995909107

Verify JSON SBOMs command

注記

SHA3 digest verification is not currently supported for RSA keys.

Verify JSON SBOMs commands begins with:

smctl sign in-toto verify

Subcommands

The verify JSON SBOM signature command supports these subcommands:

4. Subcommands for verify JSON SBOMs signatures

Shortcut

Flag

Description

keypair-id

Verify a signed JSON SBOM using the hash algorithm and keypair ID.

public-key

Verify a signed JSON SBOM using the hash algorithm and public key present in a PEM or DER file.

-h

--help

Help for verifying JSON SBOMs.


Example

Description: Verify a signed JSON SBOM using the hash algorithm and keypair ID.

Command:

smctl sign in-toto verify keypair-id <signed file> <hash algorithm> <keypair ID or alias>

Command sample:

smctl sign in-toto verify keypair-id C:\Workspace\sbom-signing\signed_golang.cyclonedx.json SHA256 fcfecdeb-4412-4796-962a-1c135948a15f

Example

Description: Verify a signed JSON SBOM using the hash algorithm and public key present in a PEM or DER file.

Command:

smctl sign in-toto verify public-key <path to public key> <hash algorithm> <keypair ID or alias>

Command sample:

smctl sign in-toto verify public-key C:\Workspace\sbom-signing\signed_golang.cyclonedx.json SHA256 new-keypair.pem