Перенацеливание ключей pkcs11 на jcecsp в nCipher HSM

Используя PKCS11 api, я могу сгенерировать симметричные ключи (DES3), но теперь мне нужно перенаправить эти ключи на jcecsp для приложения, которое использует только провайдер nCipher JCE для доступа к HSM. Я понимаю, что jcecsp отсутствует в списке распознанных приложений команды --retarget.

Итак, мои вопросы: есть ли способ добавить jcecsp в качестве поддерживаемого приложения для команды generatekey --retarget? или это просто невозможно в nShield HSM?

Я получил такой вывод ошибки:

$ generatekey --retarget jcecsp
ERROR: sorry, application jcecsp is not currently usable

pkcs#11 hsm jce
person Sheldon C    schedule 15.03.2018    source источник
comment
Удалось ли вам когда-нибудь решить эту проблему? Если да, то как вы это сделали?   -  person Hmmmmm    schedule 27.03.2019

Ответы (1)


arrow_upward
0
arrow_downward

jcecsp немного странный, поскольку операции должны проходить через API хранилища ключей Java. Возможно, вы сможете использовать параметр Java keytool -importkeystore с SunPKCS11 в качестве источника и nCipher.sworld в качестве назначения. Если это сработает, вы эффективно перенаправили ключ. Уровень Java, работая с файлом хранилища ключей, гарантирует, что ключ можно будет снова найти, когда JCE попытается получить к нему доступ.

Вы будете танцевать с множеством вариантов ... Документы SunPKCS11 находятся здесь https://docs.oracle.com/javase/8/docs/technotes/guides/security/p11guide.html и просмотрите документацию Thales, чтобы узнать, чем ее кормить о стороне nCipherKM.

person Sander Temme    schedule 06.04.2018