署名を管理する
このセクションでは、SMCTL で署名を管理するために使用するコマンドについてカバーします。これらのコマンドは、署名、署名の検証、および署名の削除です。フラグを使用してコマンドのパラメータを指定します。
注記
SHA3 digest signing and verification is not currently supported for RSA keys.
前提条件
Sign commands begin with:
smctl sign in-toto <subcommand>
Subcommands
The sign command supports these subcommands:
署名を削除する
以下で始まる署名コマンドを削除します。
smctl sign in-toto cyclonedx <sbom file path> <keypair ID or alias>
フラグ
署名を削除するコマンドは、以下のフラグをサポートしています。
ショートカット | フラグ | 説明 |
|---|---|---|
| --artifact-digest string | ファイルまたはフォルダを指定します。フォルダを指定すると、そのフォルダ内のすべてのファイルの署名が削除されます(signtool のみサポート)。 |
--hash-algorithm string | Hash algorithm for the signature (default "SHA256"). 注記SHA3 digest signing is not currently supported for RSA keys. | |
--signed-file string | File name of the signed SBOM (default "signed_"+InputFileName) | |
-h | --help | 削除に関するヘルプ。 |
例
説明: 指定されたファイルまたは指定されたフォルダ内のファイルの電子署名を削除します。
コマンド:
smctl sign in-toto cyclonedx <sbom file path> <keypair ID or alias>
コマンドの例:
smctl sign in-toto cyclonedx C:\Workspace\sbom-signing\golang.cyclonedx.json fcfecdeb-4412-4796-962a-1c135948a15f
Sign SPDX JSON SBOMs
Sign SPDX JSON SBOMs commands begins with:
smctl sign in-toto cyclonedx <sbom file path> <keypair ID or alias>
Flags
The SPDX signature command supports these flags:
Shortcut | Flag | Description |
|---|---|---|
--artifact-digest string | SHA256 digest of the artifact for which this SBOM was generated. | |
--hash-algorithm string | Hash algorithm for the signature (default "SHA256"). 注記SHA3 digest signing is not currently supported for RSA keys. | |
--signed-file string | File name of the signed SBOM (default "signed_"+InputFileName) | |
-h | --help | Help for signing SPDX JSON SBOMs. |
Example
Description: Sign SPDX JSON SBOM.
Command:
smctl sign in-toto spdx <sbom file path> <keypair ID or alias>
Command sample:
smctl sign in-toto spdx C:\Workspace\sbom-signing\golang.spdx.json 30dbb169-b120-4df6-b8fc-16e995909107
Verify JSON SBOMs command
注記
SHA3 digest verification is not currently supported for RSA keys.
Verify JSON SBOMs commands begins with:
smctl sign in-toto verify
Subcommands
The verify JSON SBOM signature command supports these subcommands:
Shortcut | Flag | Description |
|---|---|---|
keypair-id | Verify a signed JSON SBOM using the hash algorithm and keypair ID. | |
public-key | Verify a signed JSON SBOM using the hash algorithm and public key present in a PEM or DER file. | |
-h | --help | Help for verifying JSON SBOMs. |
Example
Description: Verify a signed JSON SBOM using the hash algorithm and keypair ID.
Command:
smctl sign in-toto verify keypair-id <signed file> <hash algorithm> <keypair ID or alias>
Command sample:
smctl sign in-toto verify keypair-id C:\Workspace\sbom-signing\signed_golang.cyclonedx.json SHA256 fcfecdeb-4412-4796-962a-1c135948a15f
Example
Description: Verify a signed JSON SBOM using the hash algorithm and public key present in a PEM or DER file.
Command:
smctl sign in-toto verify public-key <path to public key> <hash algorithm> <keypair ID or alias>
Command sample:
smctl sign in-toto verify public-key C:\Workspace\sbom-signing\signed_golang.cyclonedx.json SHA256 new-keypair.pem