PKCS11 - 为 SHA256_HMAC 生成密钥
PKCS11 - Generate key for SHA256_HMAC
我使用 Botan2 库访问 SoftHSM2。我设法生成了一些 AES/DES 密钥,但我想为 SHA256 HMAC 生成一个密钥。
我的代码(创建会话、登录并检测我的令牌后):
namespace p11 = Botan::PKCS11;
p11::SecretKeyProperties propsOtpGen(p11::KeyType::Sha256Hmac);
propsOtpGen.set_label("OTPGEN");
propsOtpGen.set_modifiable(false);
propsOtpGen.set_private(true);
propsOtpGen.set_token(true);
propsOtpGen.set_sensitive(true);
propsOtpGen.set_sign(true);
propsOtpGen.set_verify(true);
propsOtpGen.add_numeric(p11::AttributeType::ValueLen, 16UL);
p11::Mechanism m {static_cast<CK_MECHANISM_TYPE >::MechanismType::GenericSecretKeyGen), NULL_PTR, 0};
11::ObjectHandle keyHandle;
const std::vector<p11::Attribute> vec = propsOtpGen.attributes();
module->C_GenerateKey(session.handle(), &m, const_cast<CK_ATTRIBUTE*>(&vec[0]), vec.size(), &keyHandle);
抛出 0xd1 CKR_TEMPLATE_INCONSISTENT.
我检查了 SofthHSM2 日志,但没有进一步的信息。
编辑
我有一些其他使用 nCipher 的示例实现,并且类似的态度适用于供应商机制 CKM_NC_SHA256_HMAC_KEY_GEN。然而,这个不在pkcs11标准中,所以我不能使用它。
在尝试了所有可以想象的调用之后,我仍然无法使用 SHA256HMAC 密钥类型。好像没有生成器。
我发现的 onlu 解决方法是使用 GenericSecret 密钥类型。
namespace p11 = Botan::PKCS11;
p11::SecretKeyProperties propsOtpGen(p11::KeyType::GenericSecret);
//...
这会生成密钥,稍后可以通过适当的机制将对象句柄传递给 sign/verify
CK_MECHANISM mechanism{CKM_SHA256_HMAC, NULL_PTR, 0};
module->C_SignInit(session.handle(), &mechanism, keyHandle);
module->C_Sign(session.handle(), data, signature);
然而,上述操作在我使用的 SoftHSM2 下仍然会失败,因为它不支持提供的密钥大小(这可以从插槽的 get_mechanism_info 中读取)- 支持的范围是 <32,512> .因此,最后的接触将是修补
propsOtpGen.add_numeric(p11::AttributeType::ValueLen, 32UL);
我已经尝试将不同的密钥大小应用回 Sha256Hmac 密钥类型,但它似乎没有解决问题。 (我假设模板不一致可能是这个属性造成的)。
我使用 Botan2 库访问 SoftHSM2。我设法生成了一些 AES/DES 密钥,但我想为 SHA256 HMAC 生成一个密钥。
我的代码(创建会话、登录并检测我的令牌后):
namespace p11 = Botan::PKCS11;
p11::SecretKeyProperties propsOtpGen(p11::KeyType::Sha256Hmac);
propsOtpGen.set_label("OTPGEN");
propsOtpGen.set_modifiable(false);
propsOtpGen.set_private(true);
propsOtpGen.set_token(true);
propsOtpGen.set_sensitive(true);
propsOtpGen.set_sign(true);
propsOtpGen.set_verify(true);
propsOtpGen.add_numeric(p11::AttributeType::ValueLen, 16UL);
p11::Mechanism m {static_cast<CK_MECHANISM_TYPE >::MechanismType::GenericSecretKeyGen), NULL_PTR, 0};
11::ObjectHandle keyHandle;
const std::vector<p11::Attribute> vec = propsOtpGen.attributes();
module->C_GenerateKey(session.handle(), &m, const_cast<CK_ATTRIBUTE*>(&vec[0]), vec.size(), &keyHandle);
抛出 0xd1 CKR_TEMPLATE_INCONSISTENT.
我检查了 SofthHSM2 日志,但没有进一步的信息。
编辑
我有一些其他使用 nCipher 的示例实现,并且类似的态度适用于供应商机制 CKM_NC_SHA256_HMAC_KEY_GEN。然而,这个不在pkcs11标准中,所以我不能使用它。
在尝试了所有可以想象的调用之后,我仍然无法使用 SHA256HMAC 密钥类型。好像没有生成器。
我发现的 onlu 解决方法是使用 GenericSecret 密钥类型。
namespace p11 = Botan::PKCS11;
p11::SecretKeyProperties propsOtpGen(p11::KeyType::GenericSecret);
//...
这会生成密钥,稍后可以通过适当的机制将对象句柄传递给 sign/verify
CK_MECHANISM mechanism{CKM_SHA256_HMAC, NULL_PTR, 0};
module->C_SignInit(session.handle(), &mechanism, keyHandle);
module->C_Sign(session.handle(), data, signature);
然而,上述操作在我使用的 SoftHSM2 下仍然会失败,因为它不支持提供的密钥大小(这可以从插槽的 get_mechanism_info 中读取)- 支持的范围是 <32,512> .因此,最后的接触将是修补
propsOtpGen.add_numeric(p11::AttributeType::ValueLen, 32UL);
我已经尝试将不同的密钥大小应用回 Sha256Hmac 密钥类型,但它似乎没有解决问题。 (我假设模板不一致可能是这个属性造成的)。