我正在使用一些 PKCS#11 token ,这些 token 坚持使用 CKM_AES_KEY_WRAP 来解开 AES 加密 key 。在这些代币上,CKM_AES_CBC 和其他代币不支持解包。
因此,在该系统的另一端,我需要使用通过 Java 访问的 PKCS#11 token 来包装 key 。
SunPKCS11似乎不支持CKM_AES_KEY_WRAP。 Neither does IAIK ,据我所知。有人对用 Java 实现这个目标有什么建议吗?
最佳答案
CKM_AES_KEY_WRAP 是相当简单的机制,因此您不需要 PKCS#11 包装器库来提供良好的常量或枚举成员来使用它。
只要您的 PKCS#11 包装器库允许您将包装机制指定为 ulong 并将其参数指定为 byte[],就应该没问题。 SunPKCS11 非常有限,所以我会先尝试使用 IAIK。
以下代码示例通过 Pkcs11Interop 演示了这个想法.NET 的包装器:
// Acquire handle to keys
ObjectHandle wrappingKey = new ObjectHandle();
ObjectHandle toBeWrappedKey = new ObjectHandle();
// Define mechanism yourself
ulong CKM_AES_KEY_WRAP = 0x00002109;
byte[] CKM_AES_KEY_WRAP_PARAM = new byte[] { 0x01, 0x02, 0x03, 0x04, 0x05, 0x06, 0x07, 0x08 };
Mechanism mechanism = new Mechanism(CKM_AES_KEY_WRAP, CKM_AES_KEY_WRAP_PARAM);
// Perform wrapping
byte[] wrappedKey = session.WrapKey(mechanism, wrappingKey, toBeWrappedKey);
关于java - 如何在Java中使用PKCS#11 CKM_AES_KEY_WRAP机制?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49938492/