我正在尝试使用Python(使用PyKCS11库)在ACOS5-64智能卡和OMNIKEY 3121读卡器上创建AES 256密钥。到目前为止,关于非对称加密的所有“标准”操作似乎都可以正常工作。我运行了大量代码示例和pkcs11-tool命令,以初始化令牌,设置/更改PIN,创建RSA密钥对等。因此,所有驱动程序都是功能性的(pcscd、CCID、PKCS11中间件)。
以下代码导致了问题:
然而,运行时我遇到了一个错误:
问题在于,如果我将CKA_TOKEN行切换为False,则它会“起作用”。当然,通过将其设置为false,它使密钥成为会话对象而不是令牌对象(即在注销后,密钥被清除)。使用带有--list-objects的pkcs11-tool,密钥不存在。我可以使用ACSCMU(用于令牌管理的GUI工具),我可以在“秘密密钥管理器”中创建AES密钥,并且它确实创建了一个持久密钥。但是我无法知道ACSCMU正在执行什么操作以使其持久化(它可能根本没有使用PKCS11)。
如果我必须猜测问题所在,我会猜测它与会话有关。如果CKA_TOKEN=True无效,则似乎令牌实际上并不处于RW模式(如第9行中的CKF_RW_SESSION所建议的那样)。到目前为止,我不确定尝试什么或如何调试此问题。
以下代码导致了问题:
from PyKCS11 import *
import getpass
libacospkcs = '/usr/lib/libacospkcs11.so'
def createTokenAES256(lbl):
pkcs11 = PyKCS11Lib()
pkcs11.load(libacospkcs)
theOnlySlot = pkcs11.getSlotList()[0]
session = pkcs11.openSession(theOnlySlot, CKF_SERIAL_SESSION | CKF_RW_SESSION)
PIN = getpass.getpass('Enter User PIN to login:')
session.login(PIN)
t = pkcs11.getTokenInfo(theOnlySlot)
print t.label
print t.model
print t.serialNumber
template = (
(CKA_CLASS, CKO_SECRET_KEY),
(CKA_KEY_TYPE, CKK_AES),
(CKA_VALUE_LEN, 32),
(CKA_LABEL, "A"),
(CKA_PRIVATE, True),
(CKA_SENSITIVE, True),
(CKA_ENCRYPT, True),
(CKA_DECRYPT, True),
(CKA_TOKEN, True),
(CKA_WRAP, True),
(CKA_UNWRAP, True),
(CKA_EXTRACTABLE, False))
ckattr = session._template2ckattrlist(template)
m = LowLevel.CK_MECHANISM()
m.mechanism = LowLevel.CKM_AES_KEY_GEN
key = LowLevel.CK_OBJECT_HANDLE()
returnValue = pkcs11.lib.C_GenerateKey( session.session, m, ckattr, key)
if returnValue != CKR_OK:
raise PyKCS11Error(returnValue)
# Now run the method to create the key
createTokenAES256('TestAESKey')
然而,运行时我遇到了一个错误:
~/projects/smartcard $ python testpkcs11again.py
Enter User PIN to login:
Token #A
ACOS5-64
30A740C8704A
Traceback (most recent call last):
File "testcreateaes.py", line 43, in <module>
createTokenAES256('TestAESKey')
File "testcreateaes.py", line 40, in createTokenAES256
raise PyKCS11Error(returnValue)
PyKCS11.PyKCS11Error: CKR_ATTRIBUTE_VALUE_INVALID (0x00000013)
问题在于,如果我将CKA_TOKEN行切换为False,则它会“起作用”。当然,通过将其设置为false,它使密钥成为会话对象而不是令牌对象(即在注销后,密钥被清除)。使用带有--list-objects的pkcs11-tool,密钥不存在。我可以使用ACSCMU(用于令牌管理的GUI工具),我可以在“秘密密钥管理器”中创建AES密钥,并且它确实创建了一个持久密钥。但是我无法知道ACSCMU正在执行什么操作以使其持久化(它可能根本没有使用PKCS11)。
如果我必须猜测问题所在,我会猜测它与会话有关。如果CKA_TOKEN=True无效,则似乎令牌实际上并不处于RW模式(如第9行中的CKF_RW_SESSION所建议的那样)。到目前为止,我不确定尝试什么或如何调试此问题。