我正在使用Safenet Luna HSM 5.1.,我正在尝试弄清楚是否可以使用ckdemo工具选项#118提取对象从我的HSM中提取密钥。
HSM的全部意义在于不可能从中提取私钥,但是此选项使我非常怀疑。
(想写评论,但很长...
由于此 ckdemo 命令未记录,因此您可以直接在 pkcs11 接口级别捕获和分析。
要捕获,您可以使用:
- Luna SA SDK 中提供的 cklog
- 其他一些 (1, 2) PKCS11 记录器
要进行分析,只需检查捕获的日志并在文档中查找使用的机制。
一些额外的(随机)注释:
- SafeNet 有时会使用自己的
CT_..
API 扩展,这些扩展不会被通用的 pkcs11 记录器捕获 - 请记住,在 HSM 中存储密钥并不意味着它确实不可提取。您需要仔细将其设置为不可提取(仔细阅读文档)。
祝你好运!
Desclaimer:我不是加密专家,所以请验证我的想法。