什么是PKCS11中的“机制”？

Question

机制在PKCS11中意味着什么？例如：CKM_RSA_PKCS。

机制(CKM_RSA_PKCS)和签名算法(NoneWithRSA)之间有什么区别？

Answer 1

机制是描述加密操作的常量值。例如，CKM_RSA_PKCS在PKCS #11手册中定义为：

PKCS #1 v1.5RSA机制是一种基于公钥密码体制和最初在PKCS #1 v1.5中定义的块格式的多用途机制，表示为CKM_RSA_PKCS。它支持单部分加密和解密；带和不带消息恢复的单部分签名和验证；密钥包装；以及密钥解包装。这种机制只对应于涉及RSA的PKCS #1 v1.5部分；它不像PKCS #1 v1.5中为md2withRSAEncryption和md5withRSAEncryption算法指定的那样计算消息摘要或md5withRSAEncryption编码。

注意“多用途”子句-这个单一的机制可以与加密/解密以及签名/验证一起使用。

Java机制NoneWithRSA是defined as

在执行RSA操作之前不使用摘要算法(例如MD5/SHA1 1)的RSA签名算法。有关RSA签名算法的更多信息，请参见PKCS1。

Java机制只用于签名。

从描述中可以看出，在Java中用NoneWithRSA计算的签名与在PKCS #11中用CKM_RSA_PKCS计算的签名是等价的。