PKCS#11认识(二)—Object 与 Attribute 文章目录0 背景1 什么是Object2 什么是Attribute2.1 什么是Attribute2.2 为什么设计 Attributes2.3 Attributes分类概览3 借助工具理解概念3.1 Object3.1.1 列出现有Object3.1.2 查询 slots3.1.3 登录 Token 创建 AES Key3.1.4 再次查看Object3.2 Attribute3.2.1 属性结构3.2.2 通用属性所有对象共有3.2.3 密钥相关属性3.2.4 RSA 密钥特有属性3.2.5 证书相关属性4.参考文献0 背景场景问题描述如果我们将一个私钥或者对称密钥写入到HSM/TEE但又不允许导出密钥材料的的情况下下次如何确认里边的密钥与预期导入的密钥一样呢PKCS#11 的解决方案存储的密钥不仅仅含有密钥本身还有会有属性这些属性可以理解为密钥的说明书有密钥的id有密钥的用途类型描述。PKCS#11不仅仅定义了很多标准化的属性还支持属性的扩展。如下图流程可以达到不获取真实密钥而实现校验的目的1 什么是ObjectObject 是 PKCS#11 对所有安全资源密钥、证书、数据等的统一抽象。它屏蔽了不同资源类型的差异使应用程序可以通过统一的 API 创建、查找、使用、复制和销毁对象而对象的具体特性则由 Attributes 描述应用程序通过 Object Handle 引用和操作这些对象。这里的安全资源包括密钥Key证书Certificate普通数据Data厂商扩展对象Vendor ObjectPKCS#11 │ 管理 Object │ ┌────────┴────────┐ │ │ Handle Attributes 如何访问 对象是什么2 什么是Attribute2.1 什么是AttributeAttribute属性就是用于描述 PKCS#11 Object 特征的一组键值对Key-Value Pair。例如一把 AES 密钥AES Key在 PKCS#11 中并不是只有Key Value而是一个 Object 数据Value Attributes元数据Object ├── CKA_CLASS Secret Key ├── CKA_KEY_TYPE AES ├── CKA_LABEL AES_KEY ├── CKA_ID 01 ├── CKA_VALUE ******** ├── CKA_ENCRYPT TRUE ├── CKA_DECRYPT TRUE ├── CKA_WRAP FALSE ├── CKA_UNWRAP FALSE ├── CKA_SENSITIVE TRUE ├── CKA_EXTRACTABLE FALSE └── ...2.2 为什么设计 Attributes如果没有 Attributes一把密钥只有00112233445566778899AABBCCDDEEFFKCS#11 根本不知道是 RSA是 ECC是 AES能不能签名能不能加密能不能导出谁拥有它敲黑板PKCS#11 不仅需要保存 Key Value更需要保存 Key 的身份和行为2.3 Attributes分类概览3 借助工具理解概念3.1 Object3.1.1 列出现有Object上一篇文章中在token中生成了RSA密钥pkcs11-tool \ --module /usr/lib/x86_64-linux-gnu/softhsm/libsofthsm2.so \ --login \ --pin 123456 \ --list-objects Using slot 0 with a present token (0x7de1ea57) Private Key Object; RSA label: MyRSA_key1 ID: 01 Usage: decrypt, sign, signRecover, unwrap Access: sensitive, always sensitive, never extractable, local Public Key Object; RSA 2048 bits label: MyRSA_key1 ID: 01 Usage: encrypt, verify, verifyRecover, wrap Access: local3.1.2 查询 slots目的为了查询slot的 Label下一步新建AES key的时候需要指定softhsm2-util --show-slots Available slots: Slot 2111957591 Slot info: Description: SoftHSM slot ID 0x7de1ea57 Manufacturer ID: SoftHSM project Hardware version: 2.6 Firmware version: 2.6 Token present: yes Token info: Manufacturer ID: SoftHSM project Model: SoftHSM v2 Hardware version: 2.6 Firmware version: 2.6 Serial number: e63da68afde1ea57 Initialized: yes User PIN init.: yes Label: test13.1.3 登录 Token 创建 AES Keypkcs11-tool \ --module /usr/lib/softhsm/libsofthsm2.so \ --login \ --pin 123456 \ --token-label test1 \ --keygen \ --key-type AES:16 \ --label AES_KEY_128 \ --id 023.1.4 再次查看Object发现已经新增了~/Desktop$ pkcs11-tool \ --module /usr/lib/softhsm/libsofthsm2.so \ --login \ --pin 123456 \ --token-label test1 \ --list-objects3.2 Attribute3.2.1 属性结构/* General Structure definitions */structCK_ATTRIBUTE{CK_ATTRIBUTE_TYPE type;void*pValue;CK_ULONG ulValueLen;};3.2.2 通用属性所有对象共有CKA_CLASS // 对象类型密钥/证书/数据对象等 CKA_TOKEN // 是否存储在 Token 中true持久化, false会话对象 CKA_PRIVATE // 是否需要登录才能访问 CKA_LABEL // 人类可读的标签名 CKA_MODIFIABLE // 属性是否可修改 CKA_COPYABLE // 是否可复制 CKA_DESTROYABLE // 是否可销毁3.2.3 密钥相关属性CKA_KEY_TYPE// 密钥类型RSA/EC/AES等CKA_ID// 密钥标识符用于匹配公私钥对和证书CKA_SENSITIVE// 是否敏感true私钥值不可读出CKA_ENCRYPT// 是否可用于加密CKA_DECRYPT// 是否可用于解密CKA_SIGN// 是否可用于签名CKA_VERIFY// 是否可用于验签CKA_EXTRACTABLE// 密钥是否可导出CKA_VALUE_LEN// 密钥长度3.2.4 RSA 密钥特有属性CKA_MODULUS// 模数 nCKA_MODULUS_BITS// 模数位数如 2048CKA_PUBLIC_EXPONENT// 公钥指数 eCKA_PRIVATE_EXPONENT// 私钥指数 d3.2.5 证书相关属性CKA_CERTIFICATE_TYPE // 证书类型X.509 等 CKA_SUBJECT // 证书主题 CKA_ISSUER // 证书颁发者 CKA_SERIAL_NUMBER // 序列号 CKA_VALUE // 证书的 DER 编码内容4.参考文献PKCS #11 Cryptographic Token Interface Base Specification Version 2.40https://docs.oasis-open.org/pkcs11/pkcs11-base/v2.40/os/pkcs11-base-v2.40-os.htmlSoftHSM2https://github.com/softhsm/SoftHSMv2OpenSChttps://github.com/OpenSC/OpenSC