3

我正在尝试在 SafeNet HSM 中生成 RSA 密钥对。我复制了 PKCS11 中为私钥和公钥指定的示例模板。当我生成密钥对时,一切正常。但是,当我为私钥指定以下属性值时,C_GenerateKeyPair 返回 CKR_TEMPLATE_INCONSISTENT:

  1. CKA_DECRYPT = 假。
  2. CKA_UNWRAP = 真。

我可以想象为什么我的模板不一致,但我只想验证它。由于解包操作本质上是解密操作,因此允许密钥解包而不能解密是不一致的。

但是,这两个操作不应该被 PKCS11 实现分开处理吗?

提前致谢。

4

1 回答 1

0

您不必同时设置它们,它们确实是分开的。事实上,在最近版本的金雅拓 SafeNet HSM 中存在一个分区策略,必须在所谓的“多用途密钥”甚至允许之前启用该策略。我认为不一致不在私钥模板内部,而是在它与相应的公钥模板之间。您可能必须在公钥模板中将标志设置为相反的值。

于 2018-08-17T06:19:40.177 回答