ada*_*tor 4 cryptography rsa hsm
我们正在从Thales 8000迁移到Thales Payshield 9000.我们在8000中生成了RSA密钥对(使用EI- 生成公钥/私钥对命令).我们将公钥存储在主机上,并将私钥加载到HSM的防篡改内存(使用EK- 加载私钥命令).
问题是我们没有保留私钥,我们不想创建新的密钥对,因为如果我们这样做,我们必须与供应商开始一个新的认证过程.是否存在将此密钥存储在智能卡上并转移到LMK等新版本的解决方案.
我阅读了Thales控制台 - 命令参考和程序员手册,但无法找到解决方案.
从Thales HSM密钥对生成命令返回的私钥(这是我有权访问的Payshield 9000上的命令EI)在LMK密钥对34-35下加密.你永远不会以明确的即未加密的形式看到这一点.
你可以从HSM中提取这个的唯一方法是你知道LMK密钥对; 然后你可以用它来解密它.这通常可以在测试环境中进行,其中有时使用一组已知的测试LMK密钥对.但是,在生产环境中,这样做显然会损害整个HSM以及依赖于它的任何系统的安全性.
在您的情况下,您几乎没有选择,只能生成新的密钥对,然后存储加密的私钥字节.
然而,问题是,只有在这个LMK密钥对下加密私钥才需要使用HSM来签署CSR,而不是像openssl这样的已建立的工具.
我通过使用EI命令(生成RSA密钥对)生成密钥对,存储文件中返回的原始加密私钥字节,构建未签名的CSR结构,并使用命令EW下的私钥字节将其发送到HSM. (生成签名),然后将签名附加到我的CSR结构中.
| 归档时间: |
|
| 查看次数: |
1930 次 |
| 最近记录: |