免責事項:私はThales e-Securityのために働いていますが、会社は話しません。
はい、jcecspキーをpkcs11にリターゲットできます。 kmdata/localにjcecspキーがある場合、/ opt/nfast/bin/generatekeyはjcecspをソースオプションとして提供します。そのilkのキーがない場合、ソースリストからそのオプションを静かに省略します。 しかし、このretargetプロセスは、あなたが思うとは思わないかもしれません。すべてのリターゲティングは、アプリケーションタイプと関連するメタデータを変更することです。生成時に保護されたキーブロブに焼き付けられたものであり、変更できないため、キーの基本機能は変更されません。
セキュリティワールドでは、nShieldキーACLを使用して、キーの機能(署名、検証、暗号化、復号化、折り返し、折り返しなど)を制限しています。 PKCS#11はそのパラメータ(CKA_SIGNなど)をキーACLから直接引き出し、APIを介してキーを生成するときに、キーブロブに保存されたACLはキーテンプレートのパラメータから直接導出されます。 CKA_SENSITIVEをFALSEに設定し、Security Worldが許可する場合は、エクスポート可能なキーを生成して保存することができます。 JCEはそれほど洗練されていません。キーの機能という概念はまったくありません。そのため、プロバイダはユーザーの意図をキーで推測しなければならず、デフォルトではかなり寛大な設定になっています。しかし、HSMの全体的な考え方は、重要なビットを保護し、それを持たないことを指摘しているので、エクスポートはデフォルトの1つではありません。キーファイルを作成するときにキーファイルに焼き付けられないものは、キーのターゲットを変更することで取得できません。あなたはJCEを使用したい場合は、あなたが行うことができ
ことの一つは、異なるプロバイダを使用してキーを生成し、nCipherKMプロバイダを使用してnCipher.sworldキーストア内に格納することです。これはセキュリティワールドにキーをインポートします(あなたの世界が許可している場合)、それをkey_jcecsp_ *ファイルとして保存します。しかし、これは重要なセキュリティとは関係がないので、HSMの観点からは推奨されません。もう1つのことは、ネイティブのnCore APIにドロップし、必要なACLエントリを持つキーを生成し、それをJCEキーオブジェクトにポリモーフして、HSMバックアップされたKeyStoreに保存することです。作成したキーのACLを使用して、何度でも自分の足で自分を撃つことができます。ポリモーフィングは非常にうまく文書化されていません:Thalesサポートに尋ねてください。
最後に、回復機能とは、オペレーターカードセットによって保護されている可能性がある作業キーブロブに加えて、回復Blobを持つことを意味します。これは、オペレータカードセットが失われた場合です。復旧BLOBは、新しいOCSの下に新しいキーファイルを書き込むrocsユーティリティ(Replace Operator Card Set)を使用してセキュリティワールドの管理者カードセットで開くことができます。いいえ、これは鍵がエクスポート可能であるという意味ではありません。それは、あなたがOCSを失うことから保護されていることを意味します。もちろん、ACSを失うことは、それがあなたの信頼の根であるように、初心者ではありません。