Làm thế nào để lấy được một chìa khóa với JCA/JCE và với một HSM

Question

Tôi có một chìa khóa thạc sĩ trong một HSM và tôi muốn lấy được nó với một sự đa dạng hóa nhất định. Tôi khá mới với JCA/JCE, và một chút bị mất với KeyGenerator, SecretKeyFactory, ... đặc biệt là vì tất cả các tham số là chuỗi. Tôi muốn sử dụng AES hoặc HmacSha1. Có vẻ như tôi cần sử dụng SecretKeyFactory và cung cấp KeySpec. Nhưng loại KeySpec nào?

(Tôi đã thấy bài đăng về chủ đề đó, nhưng dường như không phải HSM đã được sử dụng.)

Cảm ơn.

Answer 1

Bạn có thể lấy được chìa khóa sử dụng:

• mật khẩu dựa trên nguồn gốc (PKCS # 5) như mô tả trong Deriving a secret from a master key using JCE/JCA hoặc
• thi đua C_Derive từ PKCS # 11 sử dụng mã hóa như mô tả trong PKCS11 deriveKey() and encrypt() returning different results for 3DES

để sử dụng HSM từ API JCA/JCE, bạn cần thêm nhà cung cấp tương ứng vào API JCA/JCE và sau đó chỉ định tham số provider để yêu cầu nhà cung cấp cụ thể đó triển khai trên.

Ví dụ:

int slot = 0; 
Provider provider = new au.com.safenet.crypto.provider.SAFENETProvider(slot); 
Security.addProvider(provider); 
final String PROVIDER = provider.getName(); // "SAFENET", "SAFENET.1", ... 

KeyGenerator keyGen = KeyGenerator.getInstance("DESede", PROVIDER); 
Key baseKey = keyGen.generateKey(); 

Cipher desCipher = Cipher.getInstance("DESede/CBC/PKCS5Padding", PROVIDER); 
desCipher.init(Cipher.ENCRYPT_MODE, baseKey); 

byte[] derived = desCipher.doFinal("diversification data".getBytes()); 

Note rằng nếu bạn cần làm nguồn gốc quan trọng rất thường xuyên, bạn có thể cân nhắc sử dụng PCKS của nhà cung cấp # 11 wrapper cho Java (ví dụ jcprov của SafeNet) hoặc các API khác để bạn có thể hiểu rõ hơn về quản lý phiên của nó và hiệu quả hơn về việc sử dụng tài nguyên.