エクスポート/インポートThales nShield HSMのPKCS11interop C＃ラッパーライブラリを使用したRSA鍵ペア？

Question

私は、PKCS11Interop生成キーAPIを使用してHSMでRSA公開/秘密鍵ペアを生成しました。 鍵ペアをエクスポートします。 FindAject APIを使用してキーを取得し、GetAttributeValue APIを使用して属性を読み取っている間にAPIがObjectHandleを返すため、キーの値を読み取ることができません。 キーの属性をCKA_EXTRACTABLEに設定すると、キーを生成できません。

また、HSMで外部提供の鍵ペアをインポートする必要があります。

ご協力いただきまして誠にありがとうございます。

Answer 1

あなたがしようとしていることは、HSM世界ではinsecureとみなされます。それはHSMを持つという目的を破るものです。

しかし、それはできますか？はい。 HSMベンダーがそれをサポートする必要があります。

HSMベンダーは、HSMで生成されたキーを抽出できるかどうか、または（HSM外の）ソフトウェアによって生成されたキーをハードウェアにインポートできるかどうかを判断します。 PKCS＃11は、HSMと対話するためのインターフェイスです。 HSMが操作をサポートしない場合、例外をスローします。この例外は、最終的にPKCS11 APIによってスローされます。

これは、抽出操作とインポート操作の両方について、あなたのケースで起こっていることです。これらの操作を実行しようとしているHSMがサポートしていない可能性があります。したがって、HSMベンダーに、これらの操作を自社製品でどのように実行できるかを確認する必要があります。

P .: Thales nShieldには、安全ではないモードでHSMを実行するための設定ファイルが必要です。

注：HSMで生成されたKey/Key Pairを抽出すると、HSM外で生成されたキー/キーペアをインポートすることは、現実世界では安全でない操作とはみなされません。

Answer 2

タレスのHSMはGetAttributeValue、ObjectHandleなどのような、そのような機能を持っていないので、私は

CKA_EXTRACTABLEはあなたが別のキーの下にあなたの鍵を抽出することができ、これはないはことを意味しないことを意味..あなたがセーフネットHSMを使用していると思いますキーデータを読み取ることができます。キーハンドルを使用するだけでキーデータを取得できるのであれば、完全に安全でないはずです。

機能モジュール（FM）でもObjectHandleを使用してキーデータを読み込むことはできません。 FMはSafenet HSMだけで動作する独自のソフトウェアで、HSMハードウェアを実行する埋め込みソフトウェアです。 ObjectHandleを使用すると、FMの暗号化、復号化などの特定のHSM関数を呼​​び出すことができます。 キーを抽出することは、別のキーでのみ可能です。

Safenet HSM関数呼び出しを使用してキーをインポートできます。

Answer 3

正しい属性設定でRSA秘密鍵をエクスポートできます（もちろん、このシナリオはHSMベンダーが提供する管理対象外のPKCS＃11ライブラリでサポートされる必要があります）。ただし、複数の属性を読み込む必要があります（12.1.3 PKCS#11 v2.20 specification）を使用して部分を抽出し、独自のキーのASN.1構造を作成します。

あなたが必要とする特定のタイプのASN.1構造は、使用しているキータイプ（あなたの場合はRSAです）とキーを使用するターゲットシステムの能力、つまり暗号化アプリケーションは通常、メールエージェントなどRSAPrivateKeyの構造体をPKCS#1で定義して開始することができます。