我可以使用PKCS#11在高速机床中创建签名吗？

Question

我是否可以将XAdES4J配置为，将签名创建委托给使用PKCS#11基础结构的硬件安全模块(HSM)？如果是-怎么做？

这些站点上的信息让我假设，只有使用PKCS#11的密钥传输是可能的：

• https://code.google.com/p/xades4j/wiki/DefiningKeyingData (关键词键控-数据，-provider)
• http://code.google.com/p/xades4j/wiki/QeA (onur的讨论)
• http://xades4j.googlecode.com/svn/release/1.3.0/javadoc/reference/xades4j/providers/impl/KeyStoreKeyingDataProvider.html (步骤3：“返回条目的私钥”)

Answer 1

如前所述，您可以使用PKCS#11键控数据通过使用PKCS11KeyingDataProvider。您只需要使用HSM的本机PKCS#11库来配置它。

PrivateKey接口只是用于不透明密钥表示的标记接口。当您使用PKCS#11提供程序时，返回的PrivateKey实例只是键的句柄(代表)，因为密钥材料实际上并没有离开HSM。签名引擎将使用延迟提供程序选择来选择，因此将选择给PrivateKey提供程序，因为该提供程序知道如何处理特定的PrivateKey。在这种情况下，键和签名值的计算都由HSM完全处理。

XAdES4j的PKCS11KeyingDataProvider只是一个包装器，它是用提供的本机库路径配置的特定PKCS#11提供程序实例创建的PKCS#11。

Answer 2

简单的浏览使我想到：

https://code.google.com/p/xades4j/wiki/DefiningKeyingData

这里有一个关于PKCS#11的章节。这对你不管用吗？