0

我使用 Botan2 库来访问 SoftHSM2。我设法生成了一些 AES/DES 密钥,但我想为 SHA256 HMAC 生成一个秘密。

我的代码(在创建会话、登录并检测到我的令牌之后):

namespace p11 = Botan::PKCS11;
p11::SecretKeyProperties propsOtpGen(p11::KeyType::Sha256Hmac);
propsOtpGen.set_label("OTPGEN");
propsOtpGen.set_modifiable(false);
propsOtpGen.set_private(true);
propsOtpGen.set_token(true);
propsOtpGen.set_sensitive(true);
propsOtpGen.set_sign(true);
propsOtpGen.set_verify(true);
propsOtpGen.add_numeric(p11::AttributeType::ValueLen, 16UL);

p11::Mechanism m {static_cast<CK_MECHANISM_TYPE >::MechanismType::GenericSecretKeyGen), NULL_PTR, 0};
11::ObjectHandle keyHandle;
const std::vector<p11::Attribute> vec = propsOtpGen.attributes();

module->C_GenerateKey(session.handle(), &m, const_cast<CK_ATTRIBUTE*>(&vec[0]), vec.size(), &keyHandle);

抛出 0xd1 CKR_TEMPLATE_INCONSISTENT

我检查了 SofthHSM2 日志,但没有更多信息。

编辑

我有一些使用 nCipher 的其他示例实现,并且类似的态度与供应商机制一起使用CKM_NC_SHA256_HMAC_KEY_GEN。但是,这个不在 pkcs11 标准中,因此我不能使用它。

4

1 回答 1

0

在尝试了所有可以想象的调用之后,我仍然没有让它与 SHA256HMAC 密钥类型一起工作。好像没有生成器。

我发现的 onlu 解决方法是使用 GenericSecret 密钥类型。

namespace p11 = Botan::PKCS11;
p11::SecretKeyProperties propsOtpGen(p11::KeyType::GenericSecret);
//...

这会生成密钥,稍后可以传递对象句柄以使用适当的机制进行签名/验证

CK_MECHANISM mechanism{CKM_SHA256_HMAC, NULL_PTR, 0};
module->C_SignInit(session.handle(), &mechanism, keyHandle);
module->C_Sign(session.handle(), data, signature);

但是,在我使用的 SoftHSM2 下,上述操作仍然会失败,因为它不支持提供的密钥大小(可以从插槽中读取get_mechanism_info) - 支持的范围是 <32,512>。因此最后的接触将是修补

propsOtpGen.add_numeric(p11::AttributeType::ValueLen, 32UL);

我尝试将不同的密钥大小应用回 Sha256Hmac 密钥类型,但似乎并没有解决问题。(我假设模板不一致可能是由这个属性引起的)。

于 2020-05-12T11:39:49.680 回答