为什么C_digest是在PKCS#11中定义的？

Question

消化不需要任何键，可以在客户端执行。为什么PKCS#11令牌接口标准有一个C_digest方法？例如，为什么我应该将数据发送到PKCS11高速机，而我可以在我的客户端这样做呢？

Answer 1

将摘要定义为API的一部分是允许设备成为一个完全独立的加密系统。然后，这个系统可以作为一个单元进行测试--如果您在客户端进行了哈希，您必须确保每个新实现的哈希实现都是安全的。通过将所有内容放在一个模块中，您可以独立于系统上的其他所有组件来测试和保护该模块--您知道您的PKCS #11设备有一个正确的实现，并且不必自己重新实现它。这也为您提供了更大的灵活性，因为您需要的一切都在该设备中(因此，您不必像在设备中那样，每次有新系统时都要重新实现消化)。

FIPS实际上需要一个类似的东西--所有密码必须在FIPS认证的设备中，因为这将所有所需的遵从性步骤外包给FIPS设备(您只需检查该设备是否符合，然后就可以在任何地方使用它，而不必担心系统其他部分的密码实现)。