pkcs11-instruments

pkcs11-tool ir rīks, kas ir daļa no OpenSC projekta un ko var izmantot, lai pārvaldītu PKCS#11 ierīces atslēgas.

Jums ir jānorāda PKCS#11 moduļa atrašanās vieta, kas jāizmanto ar --module opciju:

pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so

Aizstāt /usr/lib/nitrokey/libnethsm_pkcs11.so ar ceļu, kurā atrodas NetHSM PKCS#11 modulis.

Ar nākamo komandu varat pārbaudīt, vai modulis darbojas:

pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --show-info

Jums vajadzētu redzēt kaut ko līdzīgu šim:

Cryptoki version 2.40
Manufacturer     Nitrokey
Library          Nitrokey PKCS#11 library (ver 0.1)

Saraksta spēļu automāti

Informācija par pieejamajiem laika nišām. Uzskaitītie laika nišas ir atkarīgi no laika nišu masīva konfigurācijas p11nethsm.conf konfigurācijas failā. Lai uzzinātu vairāk par slotu konfigurāciju, skatiet nodaļu Konfigurācija.

pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --list-slots

Slot 0 (0x0): NetHSM
  token label        : LocalHSM
  token manufacturer : Nitrokey GmbH
  token model        : NetHSM
  token flags        : rng, token initialized, PIN initialized
  hardware version   : 0.1
  firmware version   : 0.1
  serial num         : unknown
  pin min/max        : 0/0

Piezīme

Ja jūsu konfigurācija atbalsta vairāk nekā vienu slotu, lai izmantotu pareizo slotu, pkcs11-tool komandās, iespējams, būs jāpievieno --slot <arg> opcija.

Atslēgas identifikatori

pkcs11 rīks izmanto heksadecimālo atslēgas ID, lai identificētu atslēgas. NetHSM kā atslēgas ID izmanto burtciparu virknes. NetHSM PKCS#11 modulis PKCS#11 ID veidošanai izmanto neapstrādātas virknes baitu vērtības. NetHSM atslēgas heksadecimālo versiju var iegūt, izmantojot xxd:

echo -n "MyKey" | xxd -p

4d794b6579

Pēc tam šo sešciparu vērtību var nodot pkcs11 rīkam, izmantojot --id opciju.

Izveidot atslēgu

Izveidojiet atslēgu pāri un saglabājiet to NetHSM.

Piezīme

Slotam, kuru vēlaties izmantot, konfigurācijas failā ir jābūt lietotājam andministrator. Pretējā gadījumā jūs saņemsiet CKR_USER_NOT_LOGGED_IN kļūdu.

RSA

pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --keypairgen --key-type rsa:2048 --label "rsakey"

ECDSA

pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --keypairgen --key-type EC:prime256v1 --label "eckey"

AES/Generic

pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --keygen --key-type AES:256 --label "aeskey"

Saraksta atslēgas

Uzskaitiet NetHSM saglabātās atslēgas.

pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --list-objects

Using slot 0 with a present token (0x0)
Public Key Object; RSA 2048 bits
  label:      rsakey
  ID:         7273616b6579
  Usage:      none
  Access:     none
Private Key Object; RSA
  label:      rsakey
  ID:         7273616b6579
  Usage:      decrypt, sign
  Access:     sensitive, always sensitive, never extractable

Lasīt atslēgas

NetHSM saglabātā atslēgu pāra publiskās atslēgas nolasīšana. No NetHSM nav iespējams nolasīt privātās atslēgas.

pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --read-object --type pubkey --label rsakey --output-file rsakey.pub

Atslēgu pāra sertifikātu var nolasīt ar to pašu komandu, mainot --type opciju uz cert.

Piezīme

Izvades rezultāts ir DER formātā.

Rakstīt atslēgas

Ierakstiet privāto atslēgu NetHSM. Publiskā atslēga tiek automātiski atvasināta no privātās atslēgas.

pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --write-object rsakey.key --type privkey --id 7273616b6579

Atslēgu pāra sertifikātu var ierakstīt ar to pašu komandu, mainot --type opciju uz cert.

pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --write-object rsakey.crt --type cert --id 7273616b6579

Šifrēt

Datu šifrēšana tiek atbalstīta tikai AES atslēgām.

echo "NetHSM rulez!  " | pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --encrypt --id 6165736b6579 --mechanism AES_CBC --output-file encrypted.txt

Piezīme

Ievades dati ir manuāli jāaizpilda līdz AES atslēgas bloka lielumam.

Atšifrējiet

AES

pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --decrypt --id 6165736b6579 --mechanism AES_CBC --input-file encrypted.txt

RSA

Datus var šifrēt ar publisko atslēgu un atšifrēt ar privāto atslēgu.

# get the public key first
pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --read-object --type pubkey --id 7273616b6579 --output-file public.der

# encrypt some data with OpenSSL
echo 'NetHSM rulez!NetHSM rulez!' | openssl pkeyutl -encrypt -pubin -inkey public.der -keyform DER -out data.crypt

pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --decrypt --id 7273616b6579 --mechanism RSA-PKCS --input-file data.crypt

Pierakstīties

echo "NetHSM rulez!" | openssl dgst -sha256 -binary |  pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --sign --label rsakey --mechanism RSA-PKCS-PSS --hash-algorithm SHA256 --output-file data.sig --signature-format openssl

Paraksta pārbaude ar OpenSSL:

# get the public key
pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --read-object --type pubkey --label rsakey --output-file public.der

echo 'NetHSM rulez!' | openssl dgst -keyform DER -verify public.der -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -signature data.sig