問題タブ [hsm]

ハードウェアセキュリティモジュールの暗号化をC＃アプリケーションと統合するにはどうすればよいですか？

よろしく、

/* P/Invoke PKCS#11 によって C# アプリケーション経由で hsm 情報を取得する必要もあります*/

ねえ、質問は実際にはNcryptokiについてではありませんが、他に尋ねる場所を知りませんでした..誰かが助けてくれるなら、私を助けてください. 私はAESキーを生成しようとしていますが、私が今持っているコードをここに示します:

しかし、これは私にエラーを与えます:

これを解決するためにここからどこへ行くべきか、誰か私にアイデアを教えてもらえますか..

編集: 参考までに-私は SafeNet HSM を持っておりjprov、SafeNet ProtectToolkit に付属しているものと呼ばれる Java PKCS#11 ラッパーを使用しています。

証明書、公開鍵/秘密鍵のペアを含む USB トークンを持っていますが、どうすれば取得できますか

C++を使用したPKCS 11ドキュメントから?

ビルド/署名/リリースプロセスを再設計するように依頼されました。私はWindowsに非常に満足しており、必要なことを実行するネットワーク化されたHSM製品をいくつか特定しました。これらは基本的にCryptoAPIと直接統合されているため、署名を行う人は通常どおりsigntool.exeを使用できます。

現在、独自のビルド/署名/リリースを行う別のMacチームがあります。これはすべて、DCの1つにあるいくつかのMacMiniで正常に機能しています。Macソフトウェアキーも保護したいので、ネットワーク化されたHSMをMacの署名プロセスに統合する方法を見つけようとしています。

これについての良い情報はどこにも見つかりません！ですから、ここにいる誰かがすでにこれを行っており、私の痛みを和らげることができることを願っています。

実際の質問は次のとおりです。

1）標準のMacコード署名ツールでHSMを使用できますか？2）誰かが上記のベンダー/製品を推薦できますか？3）Macコード署名とMac暗号インフラストラクチャの内部動作に関するいくつかの優れたドキュメントを誰かに教えてもらえますか？

乾杯

BHB

私は Pavel で、主に Java 開発者です。これが私の問題です：

Java Sun PKCS#11 プロバイダーを使用して HSM スロットのエイリアスを一覧表示しようとしていますが、空の一覧が表示されます。Windows XP/Server プラットフォームの Java 6 および 7 で試しました。Sun PKCS#11 ソースをダウンロードして調べ、デバッグをオンにし、他のトリックを行った結果、トークンに LOGIN_REQUIRED フラグが設定されていないため、最終的にエイリアス マップが空であることを発見しました。Sun PKCS#11 実装では IF 構造が 1 つあるため、このフラグが設定されていない場合、PIN バイトがキーストアに提供されても C_Login 呼び出しはありません! 私はそれが奇妙だと思います！それが PKCS#11 プロバイダの Sun 実装のバグなのか、それとも背後に一般的な考えがあるのか​​、誰か説明してもらえますか? とにかく私が「ハッキング」するとき

私の JSP プログラムは、HP-UX の Websphere で実行するように設定されています。

いくつかの .jar ファイルと、プログラムを実行する必要があるクラスを含む .so ファイルがあります。

.jar ファイルを\MyProgram\WEB-INF\lib\フォルダーに配置することで、いくつかを機能させることができました。

ただし、UnsatisfiedLinkErrorlib.so ファイルが認識されないことが原因であることがわかります。

私が見つけた方法の1つは次のとおりです。

1. 管理コンソールで、[環境] -> [共有ライブラリ] -> [新規] に移動します。

2. .jar ファイルの場所をクラスパスに入力し、.so ファイルの場所をネイティブ ライブラリ パスに入力します。

3. 管理コンソールで、[アプリケーション] -> [アプリケーションの種類] -> [エンタープライズ アプリケーション] に移動します。

4. [MyProgram] -> [共有ライブラリ参照] -> [共有ライブラリ マッピング] で、ライブラリを [使用可能] から [選択済み] に移動してプログラムに割り当てます。

2 つの質問があります。

1. .jar ファイルと .so ファイルを自分のプログラムの\lib\フォルダーから取得することはできますか?

2. できない場合、アプリケーション フォルダーからクラスパスとネイティブ ライブラリ パスを一覧表示することはできますか? %MYPROGRAM%\WEB-INF\lib\lib.soファイルを絶対パスで物理サーバーに配置するのではなく、websphere 変数ディレクトリを使用して application.war をアップロードするようなものC:\IBM\WebSphere\AppServer\bin\lib.soですか?

[EDIT-01] 以下詳細:

受信したエラー: 「エラー 500: java.lang.UnsatisfiedLinkError: com.chrysalisits.crypto.LunaAPI.Initialize()V」

Websphere を LunaSA HSM と連携させて公開/秘密キーを取得しようとしています。libLunaAPI.sl、libLunaAPI.so、LunaJCASP.jar、LunaJCESP.jarを提供してくれました。IBM の Websphere V8 -> References -> Class Loading Exceptions から、HP-UX 用の *.so ファイルが必要であることを示しているため、それに応じて実行しました。パス セットは、Websphere で指定した絶対パスです。これは私の2番目の質問に関連しています。

最初の質問は、WinSCP を使用してサーバーにアクセスし、そこにファイルを置いて絶対パスを参照する代わりに、これらのファイルを myProgram.war に入れてそこから実行できるかどうか実際に疑問に思っていることです。おそらく、上記のファイルが私のプログラムの \WEB-INF\lib\ の下にあることを指定してください。これは、私のこのプログラムだけが LunaSA HSM にアクセスするためです。

**追伸。両方の方法を試しましたが、それでも失敗します。はぁ。

カスタム Microsoft P160 PlayReady 曲線が HSM にフィードされるように、適切に DER でエンコードされた ECC パラメーターを作成しようとしています。P160 曲線は非標準でカスタムであるため、P160 曲線の定義を指定するソースをいくつか見つけました。以下は、1 つのソースへのリンクです。特に、PlayReady 曲線の値については、ウィリアム スタイン著『Elementary Number Theory,A Computational Approach』のセクション 6.4.2 で説明されています。

以下は、P160 PlayReady 曲線パラメーターに関する別の情報源からの影響です。

ECC の場合、Microsoft は Zp 上の楕円曲線を使用しています。ここで、p は 160 ビットの素数です (以下を参照)。曲線は、曲線 y^2=x^3+ax+b 上の点で構成されます。ここで、操作はフィールド Zp に対して行われ、a と b は以下に示す係数です。すべての値は、パックされたバイナリ値として表されます。つまり、Zp を超える単一の値は、単純に 20 バイトとしてエンコードされ、リトル エンディアン順に格納されます。したがって、楕円曲線上の点は 40 バイトのブロックであり、2 つの 20 バイトのリトルエンディアン値 (x 座標の後に y 座標が続く) で構成されます。MS-DRM で使用される楕円曲線のパラメーターは 次の

とおり です。

coefficient b : 0dd8dabf725e2f3228e85f1ad78fdedf9328239e
generator x : 8723947fd6a3a1e53510c07dba38daf0109fa120
*generator y : 445744911075522d8c3c5856d4ed7acda379936f
Order of curve : 89abcdef012345672716b26eec14904428c2a675

These constants are fixed, and used by all parties in the MS-DRM system. この数値を 16 進数で表示すると、モジュラスの「オタクの魅力」が高まります。基本定数 e、pi、および sqrt(2) の数字だけでなく、16 進数でのカウントも含まれます。

この情報に基づいて、基本 ASN.1 ライブラリとして BouncyCastle を使用して、P160 曲線の DER エンコード曲線パラメーターの次の 16 進エンコードを作成しました。これらの曲線パラメータにはシード値が指定されていないことに注意してください。

308195020101302006072a8648ce3d010102150089abcdef012345672718281831415926141424f7302c041437a5abccd277bce87632ff3d4780c009ebe4149704140dd8dabf725e2f3228e85f1ad78fdedf9328239e0429048723947fd6a3a1e53510c07dba38daf0109fa120445744911075522d8c3c5856d4ed7acda379936f02150089abcdef012345672716b26eec14904428c2a675

数学的には、これらの曲線パラメーターは HSM と OpenSSL によって受け入れられますが、生成された P160 曲線ポイントは PlayReady には受け入れられません。同じプロセスを使用して、PlayReady に受け入れられる有効な P256 カーブ ポイントを生成できるので、私の方法に欠陥があるとは思いません。PlayReady P160 の曲線パラメーターを使用した経験のある人はいますか?

ハードウェアセキュリティモジュールの暗号化をJavaアプリケーションと統合するにはどうすればよいですか？HSMに接続し、キーを生成し（非対称、対称）、データを暗号化および復号化し（非対称、対称）、キーを保存するためのコードサンプルを探しています。