在CKA_SENSITIVE为false且CKA_PRIVATE为true的情况下创建对称密钥

Question

我正在使用云HSM服务，当我尝试创建具有以下属性的AES256密钥时，我看到了CKA_ATTRIBUTE_INVALID错误：

CKA_TOKEN=0
CKA_SENSITIVE=0
CKA_PRIVATE=1
CKA_ENCRYPT=1
CKA_DECRYPT=1
CKA_SIGN=1
CKA_VERIFY=1
CKA_WRAP=1
CKA_UNWRAP=1
CKA_DERIVE=1
CKA_EXTRACTABLE=1
CKA_MODIFIABLE=0

因此error: Status：C_DeriveKey返回错误。(CKR_ATTRIBUTE_VALUE_INVALID)

我计算出，如果将CKA_SENSITIVE和CKA_PRIVATE都作为1传递，它将传递并创建key。

我的问题是，我如何知道哪些是有效的属性组合？

有人能给我指一份文件吗？我在标准的PKCS#11规范指南中没有找到太多细节。

我非常感谢这里的任何帮助！

干杯。

Answer 1

据我所知，以下属性的值是错误的：

CKA_SIGN=1
CKA_VERIFY=1

签名时不能使用对称密钥。

这个值也有一些问题：

CKA_TOKEN=0

意味着密钥是会话对象，

CKA_SENSITIVE=0

意味着密钥值是“可见的”--它是不安全的。

根据我的经验：

试着一个接一个地从模板中删除属性，你可以发现其中哪些是错误的。