現在、HSM を使用して安全なチャネル設定を実装しています。プロトコルは独自のものですが、標準の暗号化メカニズム (rsa sha) を使用します
安全なチャネルのセットアップで、証明書のスタックを受け取ります。最後の証明書はリモート デバイスの個人証明書です。このチェーンは、高級言語で検証する必要がありますが、問題ありません。しかし、これが pkcs11 インターフェイスでどのように行われるかの例は見つかりませんでした。pkcs11 には証明書チェーンの検証方法がないという印象がありますか? すべての証明書を分析し、基本的な pkcs11 関数を使用して署名を計算する必要がありますか? そして、これはあまり安全ではありません。スタック全体を HSM に渡したいと思うでしょう。HSM は OK か NOT かを報告します。OK の場合、(この場合) デバイス証明書の公開鍵を使用して、ランダムなチャネル鍵などを暗号化できます。
問題は、これは通常 pkcs11 でどのように行われるかということです。