从CKA_Value中的键或数据对象中提取PKCS11

Question

我希望将键值从PKCS11的键/数据对象读取到局部变量中。我注意到密钥存储在Key对象的CKA_VALUE中。哪个函数是理想的函数，用来将这个值传递给我的局部变量？

我用过C_GetAttributeValue，但没有用。

请引导我。

谢谢哈沙

Answer 1

非对称算法和对称密钥的私钥通常不能从硬件设备中提取。这是一项保护措施。这就是为什么你不能得到价值。

存在异常(一些实现允许您添加密钥并显式地将其标记为“不受保护”，在这种情况下，可以稍后读取密钥)，但这降低了安全性和其他用户的好处，因此不受欢迎。

Answer 2

在某些实现中，如果将CKA.CKA_SENSITIVE设置为false，则可以读取值。

Answer 3

如果在键上将CKA_EXTRACTABLE设置为CK_FALSE，则无法使用PKCS#11提取该值。

如果CKA_SENSITIVE设置为CK_TRUE，则无法在纯文本中提取密钥。

然而，

如果CKA_EXTRACTABLE是CK_TRUE，而CKA_SENSITIVE是CK_FALSE，则可以使用CKA_VALUE提取密钥。

如果CKA_EXTRACTABLE是CK_TRUE，而CKA_SENSITIVE是CK_TRUE，则可以通过使用C_WrapKey包装密钥来提取密钥，然后在单元外展开包装的密钥。