我想使用HSM(硬件安全模块)对XML文件创建签名。我进行了一些研究,但现在有点困惑。
请您解答以下问题:
什么是JCE中的密钥句柄(key handle)?
密钥句柄(key handle)(在JCE、PKCS#11或其他大多数密码学API中)只是一个引用,使您能够使用密钥而不看到其实际值。这是很好的:您可以将密钥永久存储在安全位置(例如HSM)中,并确保没有人能够复制它并带走它 - 如果密钥在应用程序空间中,可能会发生这种情况。不像实体保险箱,您仍然可以执行加密操作,而不会有密钥泄漏的安全风险。
PKCS#11标准是否定义了一种在HSM中生成签名的方法?
PKCS#11是用于加密令牌(cryptographic tokens)的C API。令牌(token)是PKCS#11抽象,用于描述提供由此类API描述的服务的任何设备或程序。该API定义了您可以使用PKCS#11令牌内部的对象执行哪些操作:其中一些对象是非敏感的,可以被提取(例如公共密钥)。其他一些对象是敏感的,只能通过句柄使用。
如果您拥有支持签名的对象的句柄,则可以使用C函数C_Sign,请求令牌对您的应用程序提供的某些数据进行身份验证。密钥不会离开HSM。
我的HSM功能列表中分别列出了JCE和PKCS#11。这是什么意思?
您的HSM支持JCE,因为它配备了一个符合加密服务提供者(CSP)的原生库。
它支持PKCS#11,因为它配备了一个提供C PKCS#11 API的本地库。
KeyStore是由什么支持的。如果它是 PKCS#11,并且您的提供商是您的 HSM,则密钥不会加载到 RAM 中,而是留在 HSM 内部。您只需处理其句柄。 - SquareRootOfTwentyThree