Utimaco HSM 供应商

Utimaco HSM providers

Utimaco HSM 提供多个连接 API - JCE/PKCS11/CSP。我是 运行 windows 上的模拟器设置,并使用 Utimaco CSP 工具将 2 个密钥导入 internal storage,但是当我将 JCE 提供程序连接到同一设备时 - 密钥库是空的。如果我通过 JCE 将密钥导入内部存储,它们是可检索的。

Utimaco 文档中说 CSP 和 JCE 都使用 Utimaco CXI 模块,但它们似乎不能互换?还是我遗漏了什么?

$ cngtool ListKeys
------------------------------------------------------------
Provider          : Utimaco CryptoServer Key Storage Provider
Device            : 3001@127.0.0.1
Group             : TEST_HSM
Mode              : Internal Key Storage
------------------------------------------------------------
Index  AlgId        Size   Group            Name                             Spec
---------------------------------------------------------------------------------
1      RSA          2048   TEST_HSM         TEST_HSM_1                       2
2      RSA          2048   TEST_HSM         TEST_HSM_2                       2

提供的工具(cxitool、cngtool、p11tool2)知道哪些键是“他们的”。在大多数情况下,每个密钥都具有与创建它们的提供者相关的元数据,并且没有任何其他提供者所需的必要元数据,因此——再次“在大多数情况下”——密钥不可互换。

这与其说是 'limitation',不如说是“让用户不要搬起石头砸自己的脚”。

是的,有很多方法可以解决这个问题,但您必须使用基本 CXI 接口编写代码。

此外,这在很大程度上依赖于版本,以上注释对于早期或更高版本的 SecurityServer 提供程序可能不正确。

(免责声明:我为 Utimaco 工作)