PKCS11，对象PIN

Question

我正在为web应用程序制作pkcs11模块。它是证书的远程存储，并为数据签名提供API。用于签名的API如下所示:符号( int CertificateId，char*密码，void* data，int lenght)

在pkcs11模块中，整个存储由一个令牌表示。在C_Initialize部分中，我向服务器进行身份验证。我使用另一个API调用找到对象，一切都很好。问题是，当我调用C_SignInit或C_Sign函数时，我不知道如何为我的对象获取次要密码。有谁可以帮我？

Answer 1

在PKCS#11中，所有对象都使用用户PIN进行保护。他们没有自己的PIN。因此，没有标准的方法为特定的对象请求不同的PIN。

Answer 2

PKCS#11的思想是有一个密码(PIN)来保护整个令牌。对位于同一令牌上的密钥的二次身份验证已完全排除在协议之外。如2.01规范所述：

使用由二级身份验证保护的私钥使用相同的进程和调用序列，就像使用仅受登录PIN保护的私钥一样。实际上，为Cryptoki版本2.01编写的应用程序将不加修改地使用二级身份验证。

这意味着：“二级认证不是我们的问题，这些机制必须在我们的协议之外实现”。

但是，当密钥实际上位于相同的令牌这里上时，它们描述了公开几个PIN的技巧。

指向2.11规范的链接：这里

Answer 3

如果将保护.pfx或.pvk文件中私钥的密码称为“次要密码”，则错误。这些密码用于保护那些文件(.pfx或.pvk )中的私钥，而不是HSM。在HSM中没有其他密码来保护密钥。如果您想调用api函数，您必须使用用户或管理PIN登录。