Important
Този драйвер все още е ранна реализация на концепцията, която изпълнява само функциите, необходими за работа с TLS сървъри, като например HTTPS сървър.
Достъп до NetHSM с помощта на драйвера PKCS#11#
Изтеглете драйвера PKCS#11 за NetHSM.
Променете конфигурационния файл
p11nethsm.confв съответствие с вашата настройка (напр. адрес, име на оператор) и го съхранявайте в$HOME/.nitrokey,/etc/nitrokey/или в папката, в която се изпълнява вашето приложение.
Криптиране и декриптиране#
След като създадете ключ (тук: ID 42) със съответния механизъм, можете да го използвате за криптиране и декриптиране, но първо трябва да създадете ключа:
$ KEYID=42
$ HEXID=$(echo ${KEYID}'\c' | xxd -ps)
$ curl -s -X GET https://nethsmdemo.nitrokey.com/api/v1/keys/$KEYID/public.pem -o public.pem
Сега можете да криптирате:
$ echo 'NetHSM rulez!' | openssl pkeyutl -encrypt -pubin -inkey public.pem -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha512 -pkeyopt rsa_mgf1_md:sha512 -out encrypted.data
… И декриптиране:
$ pkcs11-tool --module p11nethsm.so -v --decrypt --mechanism RSA-PKCS-OAEP --input-file encrypted.data --id $HEXID --hash-algorithm SHA512
Подписване#
Първо създайте ключа отново:
$ KEYID=23
$ HEXID=$(echo ${KEYID}'\c' | xxd -ps)
$ curl -s -X GET https://nethsmdemo.nitrokey.com/api/v1/keys/$KEYID/public.pem -o public.pem
След като създадете ключ (тук: ID 23) със съответния механизъм, можете да го използвате за подписване:
$ echo 'NetHSM rulez!' | pkcs11-tool --module p11nethsm.so -v --sign --mechanism SHA512-RSA-PKCS-PSS --output-file sig.data --id $HEXID
$ echo 'NetHSM rulez!' | openssl dgst -keyform PEM -verify public.pem -sha512 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -signature sig.data