Pkcs11Interop (C#) -在Utimaco HSM模拟器上计算HMAC签名

Question

我必须在Utimaco HSM模拟器上生成带有AES-256密钥的HMAC(SHA256)签名。为此，我使用PKCS#11库"Pkcs11Interop“(C#)。我的源代码功能：

public static byte[] GetSignatureHmacSha256(IObjectHandle secretKeyHandle, byte[] message)
        {
            ICkMacGeneralParams macParams = Settings.Factories.MechanismParamsFactory.CreateCkMacGeneralParams(32);            
            IMechanism mechanism = session.Factories.MechanismFactory.Create(CKM.CKM_SHA256_HMAC_GENERAL, macParams);
            byte[] signature = session.Sign(mechanism, secretKeyHandle, message);            
            return signature;
        }

我收到了这条错误信息。有人能帮我一下我做错什么了吗？

“方法C_SignInit返回CKR_MECHANISM_INVALID"

Utimaco日志：“机制CKM_SHA256_HMAC_GENERAL不适合键t”。

Answer 1

对于HMAC，您需要使用以下之一：

• 通用密钥(CKK_GENERIC_SECRET)
• 指定HMAC-HMAC 256密钥(CKK_SHA256_HMAC)

不能使用AES密钥(CKK_AES) --引用PKCS#11标准中的HMAC机制节：

HMAC密钥应对应于PKCS11通用密钥类型或机制特定密钥类型(请参阅机制定义)。这些键，用于HMAC操作，可以使用C_CreateObject或C_GenerateKey创建。

只需生成或导入CKK_GENERIC_SECRET或CKK_SHA256_HMAC格式的HMAC键即可。

祝你的项目好运！