pkcs11-herramienta¶
pkcs11-tool es una herramienta que forma parte del proyecto OpenSC y que puede utilizarse para gestionar claves en un dispositivo PKCS#11.
Es necesario pasar la ubicación del módulo PKCS#11 a utilizar con la opción --module
:
pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so
Sustituya /usr/lib/nitrokey/libnethsm_pkcs11.so
por la ruta donde se encuentra el módulo PKCS#11 de NetHSM.
Puede comprobar si el módulo funciona con el siguiente comando:
pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --show-info
Deberías ver algo como esto:
Cryptoki version 2.40
Manufacturer Nitrokey
Library Nitrokey PKCS#11 library (ver 0.1)
Lista de ranuras¶
La información sobre las ranuras disponibles. Las ranuras listadas dependen de la configuración de la matriz de ranuras en el archivo de configuración p11nethsm.conf. Para obtener más información sobre la configuración de las ranuras, consulte el capítulo Configuración <pkcs11-setup.html#Configuration>`_.
pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --list-slots
Slot 0 (0x0): NetHSM
token label : LocalHSM
token manufacturer : Nitrokey GmbH
token model : NetHSM
token flags : rng, token initialized, PIN initialized
hardware version : 0.1
firmware version : 0.1
serial num : unknown
pin min/max : 0/0
Nota
Si su configuración admite más de una ranura, es posible que tenga que añadir la opción --slot <arg>
en los comandos de pkcs11-tool para utilizar la correcta.
Claves de identificación¶
pkcs11-tool utiliza un ID de clave hexadecimal para identificar las claves. NetHSM utiliza cadenas alfanuméricas como ID de clave. El módulo PKCS#11 de NetHSM utiliza los valores brutos de bytes de la cadena para formar el ID PKCS#11. Puede obtener la versión hexadecimal de una clave NetHSM con xxd
:
echo -n "MyKey" | xxd -p
4d794b6579
A continuación, puede pasar este valor hexadecimal a pkcs11-tool con la opción --id
.
Generar una clave¶
Genera un par de claves y lo almacena en el NetHSM.
Nota
La ranura que desea utilizar necesita tener un usuario andministrator en el archivo de configuración. De lo contrario obtendrá un error CKR_USER_NOT_LOGGED_IN.
RSA¶
pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --keypairgen --key-type rsa:2048 --label "rsakey"
ECDSA¶
pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --keypairgen --key-type EC:prime256v1 --label "eckey"
AES/Genérica¶
pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --keygen --key-type AES:256 --label "aeskey"
Lista de claves¶
Enumerar las claves almacenadas en el NetHSM.
pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --list-objects
Using slot 0 with a present token (0x0)
Public Key Object; RSA 2048 bits
label: rsakey
ID: 7273616b6579
Usage: none
Access: none
Private Key Object; RSA
label: rsakey
ID: 7273616b6579
Usage: decrypt, sign
Access: sensitive, always sensitive, never extractable
Leer las llaves¶
Leer la clave pública de un par de claves almacenado en el NetHSM. No es posible leer claves privadas del NetHSM.
pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --read-object --type pubkey --label rsakey --output-file rsakey.pub
El certificado del par de claves puede leerse con el mismo comando cambiando la opción --type
por cert
.
Nota
La salida está en formato DER.
Teclas de escritura¶
Escriba una clave privada en el NetHSM. La clave pública se deriva automáticamente de la clave privada.
pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --write-object rsakey.key --type privkey --id 7273616b6579
El certificado del par de claves puede escribirse con el mismo comando cambiando la opción --type
por cert
.
pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --write-object rsakey.crt --type cert --id 7273616b6579
Cifrar¶
El cifrado de datos sólo es compatible con claves AES.
echo "NetHSM rulez! " | pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --encrypt --id 6165736b6579 --mechanism AES_CBC --output-file encrypted.txt
Nota
Hay que ajustar manualmente los datos de entrada al tamaño de bloque de la clave AES.
Descifrar¶
AES¶
pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --decrypt --id 6165736b6579 --mechanism AES_CBC --input-file encrypted.txt
RSA¶
Puedes cifrar datos con la clave pública y descifrarlos con la clave privada.
# get the public key first
pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --read-object --type pubkey --id 7273616b6579 --output-file public.der
# encrypt some data with OpenSSL
echo 'NetHSM rulez!NetHSM rulez!' | openssl pkeyutl -encrypt -pubin -inkey public.der -keyform DER -out data.crypt
pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --decrypt --id 7273616b6579 --mechanism RSA-PKCS --input-file data.crypt
Firma¶
echo "NetHSM rulez!" | openssl dgst -sha256 -binary | pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --sign --label rsakey --mechanism RSA-PKCS-PSS --hash-algorithm SHA256 --output-file data.sig --signature-format openssl
Para verificar la firma con OpenSSL:
# get the public key
pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --read-object --type pubkey --label rsakey --output-file public.der
echo 'NetHSM rulez!' | openssl dgst -keyform DER -verify public.der -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -signature data.sig