nCipher高速加工延迟器JCE密钥

Question

是否可以将通过ncipher JCE生成的密钥“重定向”到pkcs11？我知道您可以通过generatekey命令重定向，但我不知道如何对现有的JCE键执行此操作。第一个提示符是“源应用程序”和选项似乎不包括JCE。除了列出的方案外，它还支持其他选择吗?还是我应该考虑一种不同的重定向方式？

这里的最终目标是导出通过nCipher的JCE生成的几个密钥(非对称和对称)(是的，我知道HSM的工作是保护密钥，导出通常不是一个好主意，但这里是一个要求)。我们能够导出通过PKCS11接口生成的密钥，但不能导出通过JCE生成的密钥，因此我们的想法是，如果我们能够将其从JCE重定向到PKCS11，那么我们也可以导出这些键。如果有其他方法来做到这一点，我们也对此持开放态度。

最后，在JCE键上执行nfkminfo时，JCE键显示为“已启用恢复”。这是否意味着他们是可以出口的，还是这里的复苏意味着其他的东西？

Answer 1

免责声明:我为泰勒斯电子安全公司工作，但不代表公司。

是的，您可以将jcecsp键重定向到pkcs11。如果您的kmdata/local中有jcecsp键，/opt/nfast/bin/generatekey将提供jcecsp作为源选项。如果您没有这类的键，它将悄悄地从源列表中省略该选项。然而，，这个延迟处理可能不会像你想的那样做。所有重定向操作都是更改应用程序类型和潜在的相关元数据:它不会改变键的基本功能，因为这些功能是在生成时放入受保护的密钥块中的，因此不能更改。

Security使用nShield密钥ACL限制密钥的功能(签名、验证、加密、解密、包装、包装等等)。PKCS#11提取它的参数(CKA_SIGN等)直接从键ACL，当通过API生成密钥时，保存在键blob中的ACL直接从键模板中的参数导出。如果您将CKA_SENSITIVE设置为FALSE，而您的Security允许它，则可以生成和保存可导出的密钥。JCE并不是那么复杂:它根本没有关键功能的概念，所以提供者必须猜测用户使用密钥的意图，并且它默认为相当慷慨的集合。但是，正如您所指出的那样，HSM的整个思想是保护关键位，而不是让您拥有它们，导出不是缺省值之一。当您创建密钥文件时，没有将其放入密钥文件的东西，您不能通过重定向键来获得。

如果要使用JCE，可以做的一件事是使用不同的提供程序生成密钥，然后使用nCipher.sworld提供程序将其存储在KeyStore中:这将将密钥导入到Security (如果您的World允许的话)，并将其保存为key_jcecsp_*文件。但是，这与密钥安全性无关，因此从HSM的角度来看，不建议使用。您可以做的另一件事是放下本机nCore API，用所需的KeyStore条目生成密钥，然后将其多边形化为JCE对象，并将其保存在HSM支持的KeyStore中。你可以随心所欲地用你创建的ACL来射击自己的脚。多形性记录很差:问问泰勒斯支持，他们就能指导你了。

最后，恢复功能意味着除了可以由操作员卡集保护的工作密钥Blob之外，密钥文件还具有一个恢复blob。这是为了防止操作员卡集丢失:安全世界的管理员卡集可以使用rocs实用程序(替换操作员卡集)打开恢复块，该工具将在新的OCS下写入一个新的密钥文件。不，这并不意味着钥匙是可以出口的。这只意味着你受到保护以免失去业主立案法团。当然，失去ACS是不可能的，因为这是你的信任之根。