pkcs11-gereedschap¶

pkcs11-tool is een hulpprogramma dat deel uitmaakt van het OpenSC project dat gebruikt kan worden om sleutels op een PKCS#11 apparaat te beheren.

Je moet de locatie van de PKCS#11 module die je wilt gebruiken doorgeven met de --module optie:

pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so

Vervang /usr/lib/nitrokey/libnethsm_pkcs11.so door het pad waar de NetHSM PKCS#11 module zich bevindt.

Je kunt testen of de module werkt met het volgende commando:

pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --show-info

Je zou zoiets als dit moeten zien:

Cryptoki version 2.40
Manufacturer     Nitrokey
Library          Nitrokey PKCS#11 library (ver 0.1)

Lijst Slots¶

De informatie over de beschikbare slots. De vermelde slots zijn afhankelijk van de configuratie van de slots array in het configuratiebestand p11nethsm.conf. Raadpleeg het hoofdstuk Configuratie <pkcs11-setup.html#Configuration>`_ voor meer informatie over de configuratie van slots.

pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --list-slots

Slot 0 (0x0): NetHSM
  token label        : LocalHSM
  token manufacturer : Nitrokey GmbH
  token model        : NetHSM
  token flags        : rng, token initialized, PIN initialized
  hardware version   : 0.1
  firmware version   : 0.1
  serial num         : unknown
  pin min/max        : 0/0

Notitie

Als uw configuratie meer dan één sleuf ondersteunt, kan het nodig zijn om de optie --slot <arg> toe te voegen in pkcs11-tool commando’s om de juiste sleuf te gebruiken.

Sleutel-ID’s¶

pkcs11-tool gebruikt een hexadecimale sleutel-ID om sleutels te identificeren. NetHSM gebruikt alfanumerieke tekenreeksen als sleutel-ID. De PKCS#11-module van NetHSM gebruikt de ruwe bytewaarden van de tekenreeks om de PKCS#11 ID te vormen. Je kunt de hexadecimale versie van een NetHSM-sleutel krijgen met xxd:

echo -n "MyKey" | xxd -p

4d794b6579

Je kunt deze hexadecimale waarde dan doorgeven aan pkcs11-tool met de optie --id.

Een sleutel genereren¶

Genereer een sleutelpaar en sla het op in de NetHSM.

Notitie

De sleuf die je wilt gebruiken moet een andministrator gebruiker hebben in het configuratiebestand. Anders krijg je een CKR_USER_NOT_LOGGED_IN foutmelding.

RSA¶

pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --keypairgen --key-type rsa:2048 --label "rsakey"

ECDSA¶

pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --keypairgen --key-type EC:prime256v1 --label "eckey"

AES/Algemeen¶

pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --keygen --key-type AES:256 --label "aeskey"

Lijst Sleutels¶

Maak een lijst van de sleutels die zijn opgeslagen op de NetHSM.

pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --list-objects

Using slot 0 with a present token (0x0)
Public Key Object; RSA 2048 bits
  label:      rsakey
  ID:         7273616b6579
  Usage:      none
  Access:     none
Private Key Object; RSA
  label:      rsakey
  ID:         7273616b6579
  Usage:      decrypt, sign
  Access:     sensitive, always sensitive, never extractable

Sleutels lezen¶

De openbare sleutel lezen van een sleutelpaar dat is opgeslagen op de NetHSM. Het is niet mogelijk om privésleutels van de NetHSM te lezen.

pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --read-object --type pubkey --label rsakey --output-file rsakey.pub

Het certificaat van het sleutelpaar kan met hetzelfde commando worden gelezen door de optie --type te veranderen in cert.

Notitie

De uitvoer is in DER-formaat.

Schrijf toetsen¶

Schrijf een privésleutel op de NetHSM. De openbare sleutel wordt automatisch afgeleid van de privésleutel.

pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --write-object rsakey.key --type privkey --id 7273616b6579

Het certificaat van het sleutelpaar kan met hetzelfde commando worden geschreven door de optie --type te veranderen in cert.

pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --write-object rsakey.crt --type cert --id 7273616b6579

Versleutel¶

Encryptie van gegevens wordt alleen ondersteund voor AES-sleutels.

echo "NetHSM rulez!  " | pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --encrypt --id 6165736b6579 --mechanism AES_CBC --output-file encrypted.txt

Notitie

Je moet de invoergegevens handmatig opvullen tot de blokgrootte van de AES-sleutel.

Ontcijfer¶

AES¶

pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --decrypt --id 6165736b6579 --mechanism AES_CBC --input-file encrypted.txt

RSA¶

Je kunt gegevens versleutelen met de openbare sleutel en ontsleutelen met de privésleutel.

# get the public key first
pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --read-object --type pubkey --id 7273616b6579 --output-file public.der

# encrypt some data with OpenSSL
echo 'NetHSM rulez!NetHSM rulez!' | openssl pkeyutl -encrypt -pubin -inkey public.der -keyform DER -out data.crypt

pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --decrypt --id 7273616b6579 --mechanism RSA-PKCS --input-file data.crypt

Teken¶

echo "NetHSM rulez!" | openssl dgst -sha256 -binary |  pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --sign --label rsakey --mechanism RSA-PKCS-PSS --hash-algorithm SHA256 --output-file data.sig --signature-format openssl

Om de handtekening te verifiëren met OpenSSL:

# get the public key
pkcs11-tool --module /usr/lib/nitrokey/libnethsm_pkcs11.so --read-object --type pubkey --label rsakey --output-file public.der

echo 'NetHSM rulez!' | openssl dgst -keyform DER -verify public.der -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -signature data.sig