問題タブ [hsm]

SoftHSMv2 と pkcs11-tool を使用して一部のデータに署名 (または暗号化) したいと考えています。

これまでのところ、次を使用して RSA キーペアを生成しました。

しかし、何かに署名しようとすると:

次のエラー メッセージが表示されます。

ドキュメントを読んで理解したところ、SoftHSM で署名できるはずですが、間違っているのでしょうか?

コンパイル中に追加するオプションや、問題を解決するためのオプションはありますか? そうでない場合、市場に他の SSM 製品はありますか?

Java が PKCS#11 HSM ベースのキーストアを使用できるようにするための標準的な構成は、キーストア パスに何も構成せず (null のままにする)、Java セキュリティを構成して PKCS 11 セキュリティ プロバイダーを取得することです。詳細情報 (Sun/Oracle JVM を使用) は、こちらから入手できます。キーストアに関する Java ドキュメントの指定 - 空のキーストアを作成する場合、またはストリームからキーストアを初期化できない場合は、ストリーム引数として null を渡します。(参照:こちら) ただし、Spring Boot でこれを行うと、次の例外が発生します。

クラス「org.springframework.boot.context.embedded.tomcat.TomcatEmbeddedServletContainerFactory」では、キーストア パスを null にすることが許可されていないようです。指定されたパスからリソースをロードしようとします。

Spring Boot のバージョンは 1.3.0 です。私は最新バージョンを見ましたhttps://github.com/spring-projects/spring-boot/blob/master/spring-boot/src/main/java/org/springframework/boot/context/embedded/tomcat/TomcatEmbeddedServletContainerFactory .javaとコードは変更されていないようです (行 343) 興味深いことに、コードがトラスト ストアをロードしようとすると、十分に保護されます (ヌルのトラスト ストア パスを許可します)。行 358 を参照してください。

これは簡単な修正です。キーストア パスが null および/または空であるかどうかを確認し、そのままにしておきます。

これを解決しようとしている他の人には、「org.springframework.boot.context.embedded.tomcat.TomcatEmbeddedServletContainerFactory」の「configureSsl」メソッドをオーバーライドし、アプリケーション構成でこのインスタンスを EmbeddedServletContainerFactory に構成するという回避策があります。

問題は、TomcatEmbeddedServletContainerFactory をオーバーライドする必要がないように、Spring Boot でセキュリティ/キーストアを構成する別の方法はありますか? または、Spring Boot での問題のログ記録を検討し、パッチを提案する必要がありますか?

PKCS#11 初期化のみを実行する基本コードの例をコンパイルしようとしていますが、次のエラーが発生します。

rpm コマンドは、次のようにパスを示します

私のコードは以下に貼り付けられます

それでもエラーが発生します

この問題を解決する方法を教えてください

秘密鍵が HSM から取得されたときに、データの復号化中にエラーを受け取りました。

java.security に sunpkcs11 プロバイダーを追加しました。したがって、コードを介してプロバイダーを追加しないでください。テキストは正常に暗号化されます。ただし、暗号化されたテキストの復号化中に、次の行で以下のエラーが発生します。

ここで私が見逃しているのは何ですか?

エラー：

以下はコードです：

以前は Oracle データベースで Utimaco HSM を使用していましたがor、 hsm の間に pcks#11-spy pkcs#11-logger` を配置したいと考えています。Utimaco HSM ライブラリは機能しており、次のコマンドを使用しました。

しかし今、私はを使用しようとしていpkcs11-spyます。しかし、Oracle は新しいライブラリを見つけることができず、次を返します。

C:\oracle\extapi\32\hsm\...スパイ用にフォルダーをセットアップする方法がわかりません。将来的には、独自の pkcs11 ライブラリを構築したいと考えていますが、pkcs11 ライブラリのセットアップ方法がわからないという同じ問題が発生します。

そこで、HSM でいくつかのテストを実行するための Python パフォーマンス テストを開発しました。リモートマシンに必要な重要なモジュールである PyKCS11 をダウンロードするための指示に従っています。swig の最新バージョンがインストールされており、マシンのディレクトリにダウンロードした PyKCS11 フォルダーで make ビルドを実行しようとしています。make ビルドを実行すると、とんでもない量のエラーが発生します。これらのエラーで何が起こっているかについての提案はありますか?

めちゃくちゃ長いスタック トレースで申し訳ありません。要約する方法がわからなかったので、可能な解決策の正しいエラーメッセージを表示していました。とにかく、リモート マシンで Python スクリプトを実行すると、次のようになります。問題は正しいコンパイラを見つけることにあると思いますが、完全にはわかりません。

さらに、インタープリターを呼び出してエラーのより単純化されたバージョンを確認するときに、PyKCS11 をインポートしようとしました。

HSM の RNG が FIPS 140-2 (承認された DRBG - SP 800-90 CTR モード) に準拠していると言われている場合、それは FIPS 186-2 に準拠していることも意味しますか?

ご協力いただきありがとうございます。