HSM:使用JAVA应用程序引入HSM
HSM(Hardware Security Module)是一种硬件安全模块,它提供了高级的加密和密钥管理功能,用于保护敏感数据和加密密钥。通过使用HSM,可以确保数据的机密性、完整性和可用性。
HSM的分类:
- 基于硬件的HSM:这种HSM使用专用的硬件芯片来实现安全功能,它提供了高度安全的密钥存储和加密算法执行。
- 基于软件的HSM:这种HSM是通过软件来实现的,它在安全性方面不如硬件HSM,但仍提供了一定程度的加密和密钥管理功能。
HSM的优势:
- 安全性:HSM提供了高级的物理和逻辑安全控制,包括密钥保护、访问控制和防篡改等功能,确保密钥和数据的安全性。
- 性能:HSM具备专用的硬件加速器,可以高效地执行加密和解密操作,提供高性能的加密服务。
- 可信任性:HSM通常具备严格的认证和审计功能,确保其运行和管理的可信任性。
- 可扩展性:HSM可以通过添加模块或扩展卡来扩展其功能和容量,适应不同规模和需求的系统。
HSM的应用场景:
- 密钥管理:HSM广泛应用于密钥生成、存储和管理,保护密钥免受未授权访问和泄漏的风险。
- 数字签名和认证:HSM可用于生成和验证数字签名,确保数据的完整性和身份验证。
- 加密操作:HSM提供了硬件加速的加密和解密功能,用于保护敏感数据的机密性。
- 电子支付和电子商务:HSM可用于处理和保护电子支付和交易中的敏感信息。
- 云安全和加密服务:HSM可用于提供云平台上的安全性和加密服务,保护云上数据的安全性。
腾讯云相关产品: 腾讯云提供了一款名为"云加密机"的HSM服务,它是基于硬件的HSM解决方案。云加密机提供了密钥安全管理、加密运算、签名验证等功能,可满足用户对于数据加密和密钥管理的需求。您可以了解更多关于腾讯云加密机的信息,可以访问腾讯云产品介绍页面:腾讯云加密机。
相关·内容
1回答
当应用程序试图打开到H/ when的连接时,接收CKR_GENERAL_ERROR。
详细的错误是:
50004-Crypto API could not be open.
Caused by: xxx.xxx.xxx.cryptoapi.CryptoApiSysException: Error opening session!!
Caused by: iaik.pkcs.pkcs11.wrapper.PKCS11Exception: CKR_GENERAL_ERROR
at iaik.pkcs.pkcs11.wrapper.PKCS11Implementation.C_Ini
浏览 6提问于2015-09-29得票数 6
1回答
基于日期和用户的键值Sql查询?
、、、、
我正在尝试将值发布到db中,但这对我来说变得有点棘手。由于每个日期都会有多个带有"username“的帖子,所以我不能将这些内容中的任何一个作为键值。
所以我在想,如果我设置一个名为"kay“的值,它抛出的日期与用户的组合,这可以成为关键字,因为这个组合的值永远不会抛出两次,并按预期工作。
但是我的查询将不起作用,我猜这是一个问题,将其作为字符串发布?
INSERT INTO hsm_static (date, username, stats, stats5, stats16,
stats20, kay) VALUES (CURDATE(), username, 1, 0,
浏览 4提问于2016-12-08得票数 0
我有一个执行RSA混合加密/解密的应用程序--也就是说,消息是用一个新的AES密钥加密的,然后使用RSA-OAEP加密,并与消息一起发送。然后解密做相反的。
现在我想通过PKCS#11提供对硬件安全模块(HSM)的支持。(应用程序是用Java编写的,所以这实际上是通过一些包装器(比如默认的SunPKCS11库)编写的)。我可以看到实现解密的两个选项:
使用HSM对临时AES密钥进行解密,并将该密钥的原始字节返回给我的应用程序,然后应用程序在内存中执行AES解密。
使用HSM将AES密钥“解包”为(敏感的)会话对象,然后使用HSM执行AES解密。
我的直觉是,在带有AES-NI指令的服务器上,选
浏览 0提问于2018-05-26得票数 3
回答已采纳
1回答
我已经通过提供的acos-pkcs11.dll库(Java32bit,以便在CryptoMate64上可以使用SunPKCS11 )在SunPKCS11上使用SunPKCS11令牌的工作实现。
CryptoMate64是SunPKCS11在Windows上本地访问的一种USB令牌。Linux没有PKCS11库(没有.so文件或类似的东西)。
因为我使用的是Linux机器,为了获得一些功能,我想问一下,是否有任何方法可以通过不同计算机上通过USB连接的网络访问PCKS11设备。
其想法如下: Linux:希望使用USB CryptoMate64但没有库的应用程序。Windows:用acos-pk
浏览 4提问于2013-11-08得票数 2
9回答
我有application.properties,它位于资源中
apllication.properties
hsm.provider=software
hsm.name=TestHsm
hsm.port=3001
hsm.ip=127.0.0.1
hsm.timeout=10000
和控制器
@RestController
@RequestMapping("/hsm")
public class Controller {
@Value("${hsm.ip}")
private String ip;
@Value("${hsm.port}
浏览 0提问于2018-11-26得票数 17
回答已采纳
1回答
与HSM单板连接的协议和数据格式
、、、、
各位-应用程序如何与HSM(硬件安全模块)板连接?他们使用的协议是什么,交互的数据格式是什么?使用询问协议的原因是,我可能将运行在物理机上的应用程序直接连接到安装了HSM的网络,或者我也可以将应用程序部署到云上。那么,我如何连接呢?
例如,如果我有一个Java应用程序,想要连接一个HSM,比如说露娜SA,我用什么协议来连接HSM板?
仅供参考,我已经看到了一些相关的问题,如列表所示。但是,我无法理解实际的通信协议和数据格式。
浏览 2提问于2018-04-12得票数 0
我们使用HSM(硬件安全模块)对我们的java应用程序进行签名和加密。我们使用java.security属性文件使用以下条目将HSM插入JVM。
security.provider.11=sun.security.pkcs11.SunPKCS11 D:/security/safenet.cfg
这几天一直很好,突然我们遇到了如下错误。
java.security.SignatureException: RSASignature::engineSign sun.security.pkcs11.P11Key$P11PrivateKey cannot be cast to java.security
浏览 4提问于2014-11-21得票数 0
回答已采纳
1回答
有没有人知道CA公司允许我将购买的CA证书放入SoftHSM (与高速加工一样,但没有任何硬件,它是纯软件)?
是否很难使用PKCS11接口?我有一个Java应用程序,它将签署文档。但我需要通过PKCS11接口进行通信。以前有人有过这样的经历吗?有关于这个的教程吗?
浏览 0提问于2014-02-17得票数 1
回答已采纳
1回答
EJBCA如何生成私钥
、、、
我正在寻找EJBCA通常用于生成私钥的方法(CA、Sub、证书.)。
比方说,您需要RSA 2048密钥大小。生成过程是否全部在EJBCA应用程序中完成?他们是否依赖基于Java的应用服务器随机生成(在我的例子中是Jboss)?是否有本地实现的随机数生成的链接,例如Linux /dev/(U)随机生成?
熵的水平是多少,它们能保证熵的水平吗?
浏览 0提问于2016-04-15得票数 2
回答已采纳
我有一个模块,它提供一个接口的两个实现。我收到编译错误‘重复服务条目: org.util.hsm.api.HSMService’。这两个实现都属于同一个模块。
module-info.java
module org.util.thales.hsm {
uses org.util.hsm.api.HSMService;
provides org.util.hsm.api.HSMService with org.util.hsm.thales.ThalesHSMService;
provides org.util.hsm.api.HSMService with org.ut
浏览 7提问于2019-08-06得票数 2
1回答
在网络部署中将私钥保存在哪里?
、、、、
我正在编写一个web应用程序,它在web上交换签名的xml。我的问题是如何安全地存储我的私钥,以及如何在我的Java代码中访问它们?我是部署在谷歌应用程序引擎云和我的应用程序可以自动扩展基于服务器负载。
这样做的行业最佳实践是什么?
浏览 3提问于2015-07-30得票数 3
回答已采纳
是否可以基于pan构建可用于验证pin的java应用程序,并在客户需要时更改pin。我的公司用的是泰利斯支付系统9000..?
只能通过ip和端口通过hsm连接
private String HSM_IP = "10.100.2.4";
private String HSM_PORT = "9998";
private Socket socket = null;
try{
socket = new Socket(HSM_IP,HSM_PORT);
socket.connect();
浏览 0提问于2016-10-02得票数 0
因此,我有一个Java (Spring )应用程序,其中我使用了来自Amazon的RSA密钥。目前,这是.pem格式的,并存储在我的项目中的本地文件夹中。
但是,当我将应用程序部署到web (AWS)时,应该将它存储在哪里:
可以以其他格式存储它并最好在application.properties中使用吗?
我可以使用RSA密钥作为字符串,还是它总是来自一个文件?
*还是我需要将它存储在服务器上的一个安全位置,它会在哪里,它有多安全?
我还有别的选择吗?
浏览 6提问于2015-12-16得票数 7
回答已采纳
2回答
我是HSM的新手,我找不到任何关于详细沟通的信息。HSM和主机应用程序之间的通信是如何工作的?我知道有一些驱动程序,但我想了解一下密钥解密和加密的部分。应用程序如何加密消息?它是如何知道具体的密钥的?
感谢您的支持。
干杯,霍斯特
浏览 13提问于2019-11-26得票数 0
使用Java,我在HSM端口发送一个A2-命令,但是收到一个错误。
Input to HSM : 0000A2002U
Output from HSM : 0000A318
在文档中,我发现A3 -这是对A2命令的响应,而18是一个错误,这意味着:文档格式定义没有加载。
我需要生成一个清晰的组件(而不是A0命令中的键)。在控制台模式下,我使用gc命令。
Java代码:
System.out.println("<<< Connected to HSM >>>:" + socket.isConnected());
in = new DataIn
浏览 5提问于2014-07-30得票数 2
回答已采纳
我正在探索HSM设备,以检查其与区块链平台的可行性。我还没有找到一个好的资源,告诉一个不拥有HSM但他的密钥存储在HSM上的最终用户,如何使用移动应用程序向HSM进行身份验证,以便从他的私钥中获得签名。 可能的解决方案可能是PIN/密码。但我觉得这仍然是不安全的。虽然HSM只提供签名,但任何获得用户PIN/密码访问权限的人都可以获得签名。 我想知道目前正在使用哪些身份验证方法来访问HSM,以及在上面的场景中可以使用哪些方法。 我想知道的另一件事是:移动设备如何与HSM通信?HSM是否支持HTTPS让移动设备与其交互? 假设的答案也很好:)
浏览 15提问于2019-04-10得票数 0
2回答
我觉得我好像错过了什么。我知道HSM可以为您的密钥、加密数据等提供100%的防弹保护。但是,在您访问HSM并将您的秘密复制到用户内存之后,是什么阻止攻击者窃取您的敏感数据?或者,仅仅使用相同的API来访问模块?应用程序身份验证是如何工作的?如果它是基于一些简单的东西,例如密码,为什么攻击者不能直接从内存中窃取密码,登录到HSM并获得他想要的东西?此外,如果内核被攻破,我假设它可以监听或篡改进程和HSM之间的任何通信,对吗?
浏览 2提问于2013-02-07得票数 3
回答已采纳
4回答
HSM服务器和客户端安装在我身边,我的问题是如何在没有HSM客户端的情况下与HSM服务器通信,通过java应用程序访问露娜密钥库,在没有客户端的情况下与HSM服务器通信有什么替代方案吗?
浏览 91提问于2019-02-22得票数 1
1回答
HSM的选择标准
、、、
一个非常敏感的应用程序必须保护几种不同形式的数据,例如密码、信用卡和秘密文档,当然还有加密密钥。
作为围绕(标准)加密和密钥管理过程开发自定义解决方案的替代方案,正在考虑购买HSM (硬件安全模块)。
显然,这将取决于(至少部分地)特定的应用程序、公司、数据类型、技术和预算--但是我希望保持这个通用的,所以我把它放在一个高层次的视图中,而忽略了特定的工作流。
让我们假设存在需要加密的秘密数据,我们正在寻找基于硬件的解决方案来管理定制密钥管理的复杂性和可能的不安全性,并减轻对基于软件的加密和密钥的明显威胁。
在比较和选择HSM时,应该考虑哪些因素和标准?每个人的考虑因素是什么?
例如:
显然,
浏览 0提问于2013-05-30得票数 47
回答已采纳
对于加密货币应用程序,我认为HSM的主要功能是生成/存储密钥;它主要是对输入给它的数据进行签名吗?但是什么控制了这一切?它会高兴地通过pkc11 11/jce签署任何要求它的内容吗?或者你可以在允许HSM签署某些东西的地方申请一些政策,而不是其他的?
我主要假设HSM可以为不保持完全的物理控制提供一些停止间隙,比如在共享数据中心。
例如,让我们考虑使用HSM的比特币矿工来完成块生成的签名。操作系统中的一些应用程序是否可以将比特币交易提交给HSM签署,也就是说,是否会将100比特币转移到其他地址?
在我的场景中,“私钥永远不会离开HSM”--我一直把它看作HSM的卖点--似乎并没有真正为你做任何
浏览 0提问于2018-05-07得票数 3
回答已采纳
1回答
我有一个SafeNet HSM上的证书,我可以浏览HSM插槽并查看证书。但是,当我尝试用java密钥工具加载证书时,我会得到一条消息:“您的密钥库包含0项”。下面是我如何连接到HSM的解释。
这是我的safenet配置文件
name = SafeNetCA
library = D:/cryptoki.dll
slot = 1
这是我的java.security文件,我在这里添加了SunPKCS11提供程序
security.provider.1=sun.security.provider.Sun
security.provider.2=sun.security.rsa.SunRsaSign
s
浏览 1提问于2017-09-24得票数 4
我正在尝试将safenet HSM集成到我们的应用程序中。我正在用C编写程序,我指的是来自RSA实验室的PKCS11 v2.20加密标准文档。我需要生成一个AES 256位密钥。在为密钥生成定义模板时,我不确定需要为CKA_VALUE传递什么值。在生成DES3密钥时,我没有提供这个属性,并且能够生成一个密钥。
我搜索了CKA_LABEL的示例程序,但没有在C中找到任何可靠的示例。我找到了一些使用CKA_VALUE_LEN而不是CKA_VALUE的Java程序。我不确定这是否有效。
这是文档中给出的片段。大多数网站只给出了这个片段作为例子。没有为数组值指定任何内容。
CK_OBJECT_CLAS
浏览 0提问于2018-12-20得票数 3
1回答
HSM连接持久或非持久
、、、
我要用thales来做一些使用的aes加密/解密
但是,我有一个问题在我脑海中提出。我有两种方法可以在我的服务器应用程序中使用thales。
的一种方法是:每当我需要做操作时,打开一个连接,做这个工作,关闭连接。
的另一种方式是:在服务器应用程序开始时打开连接,在服务器应用程序的生存期内执行操作,每当服务器需要关闭时关闭连接。
所以我的问题是,使用hsm的正确(或建议)方式是哪一种?
浏览 4提问于2017-02-22得票数 1
回答已采纳
1回答
我正试图了解Azure Key Vault将提供的安全好处(或同样的AWS KMS)。
我理解密钥管理的好处,能够轻松地旋转、更改、审核密钥访问。
不过,让我有点困惑的是,它是如何更安全的。
据我所知,如果我开发一个web应用程序并希望保护我的连接字符串(例如),我可以在key Vault中创建一个密钥对并保存在那里。然后我在AAD中创建一个应用程序,并使用客户机ID/秘密/URI对Key Vault进行身份验证,以获得我的连接字符串。由资源组进一步限制这一点也可能有好处。
但是,这现在意味着我要保护一个客户机ID/秘密/URI。
这样更好吗?
我不是开发商!我只是想从一个虔诚的角度来了解这些
浏览 1提问于2015-09-30得票数 18
回答已采纳
我使用露娜SA和SDK生成键盘。
当我试图列出密钥存储库(作为非根用户)时,它将抛出在异常下面。如果我尝试作为根用户,它确实列表和工作良好。
我已给予非root用户读写权限。
keytool error: java.security.KeyStoreException: LUNA not found
java.security.KeyStoreException: LUNA not found
Caused by: com.safenetinc.luna.LunaCryptokiException: function 'CrystokiConnect failed' retu
浏览 30提问于2015-10-13得票数 2
回答已采纳
Derby数据库支持使用密钥或密码进行加密。传统上,这个密钥存储在文件系统中,现在我想在HSM中存储和保护这个密钥,但是我不知道该如何做。
最简单的方法似乎只是把钥匙本身放入HSM?然后,在服务器启动时,应用程序将查询HSM中的键,使用它引导Derby数据库,然后丢弃密钥。然而,我读到它似乎是无效的,因为可以简单地提取密钥,但是我并不真正理解这个appraoch的安全问题是什么,这是我应该采取的方法吗?
我读到的第二种方式是混合加密,但我不确定它是否适用于我的情况。我将生成一个对称密钥,然后在HSM中生成一个键盘。然后,我将使用HSM中的公钥加密对称密钥,并将其本地存储在文件系统中。在服务器启
浏览 0提问于2014-09-26得票数 3
我试图使用KeyStore加载的des密钥加密,我得到:
Exception in thread "main" java.security.InvalidKeyException: No installed provider supports this key: sun.security.pkcs11.P11Key$P11SecretKey
at javax.crypto.Cipher.chooseProvider(Cipher.java:878)
at javax.crypto.Cipher.init(Cipher.java:1213)
at java
浏览 3提问于2013-11-02得票数 1
回答已采纳
我可以使用HSM生成CSR吗?如果是,那么请引导我们。这会很有帮助的。
以下是我们的系统细节:
我们有HSM(SafeNet)模拟器测试开发应用。
我们使用基于桌面应用程序的Cryptoki.dll来执行加密操作。
现在我们想知道HSM是否能产生CSR?如果是,那怎么做?
浏览 0提问于2018-10-09得票数 3
回答已采纳
为了访问应用程序,我需要安全地存储用户数据库凭据。
我考虑过:-使用带加密PostgreSQL实例的AWS使用由硬件安全模块支持的AWS密钥管理系统。
KMS不是仍然会造成一个单一的故障点吗?如果我的应用程序的KMS API的密钥被窃取,它们将能够读取存储在KMS中的所有密码(即使每个用户都在使用自己的密钥)?
对于这样的东西,推荐的设置是什么?
浏览 0提问于2017-08-10得票数 1
我正在使用Safenet HSM (硬件安全模块)来存储我的加密密钥,并且我正在尝试解开一个使用Java和SunPKCS11使用RSA加密的秘密密钥(AES/DES)。我想安全地这样做,这样解开的AES/DES密钥就不能从HSM中提取出来(就像RSA私钥值是不可见的一样)。但是,在展开后,在HSM外部的键对象中可以看到解开的键的值。
下面是我的代码:
Key privateKey = keyStore.getKey("MyKeyId", keyStorePassword);
Cipher cipher = Cipher.getInstance("RSA", &
浏览 79提问于2018-09-07得票数 4
1回答
在过去的几天里,我一直在挖掘敏感数据的存储。如果我将这些数据存储在数据库中,我相信普遍接受的做法是存储加密的敏感数据,因为各种原因超出了这个问题的范围。
然而,加密数据意味着我必须管理这些数据的“秘密”。我已经看到了这方面的两条主要路径(在java世界中),或者是KeyStores或HSM。我的第一个问题是,是否还有其他有效的替代方案(在java世界中)?
我可以在java中使用多种keystore格式,举几个例子:
jks
jceks
pkcs12
bks
优步
我很少看到关于密钥存储库安全性的信息。我一直在想,如果我访问keystore,当我查看java时,因为所有的密钥存储都受到密码的保
浏览 0提问于2012-02-08得票数 11
回答已采纳
1回答
假设有一个密钥加密密钥在内存中,并且没有写入文件或数据库...
byte[] kek = new byte[32];
secureRandom.nextBytes(kek);
byte[] kekHash = SHA512.hash(kek);
并且假设密钥加密密钥是短暂的,并且数据加密密钥可以是或可以不是短暂的。
如何保护kek
如何确保kek永远不会写入虚拟内存?
如何确保另一个应用程序(例如CheatEngine)不会读取kek?
如何确保kek是由应用程序生成的,并且kek和kekHash不会被另一个应用程序操纵,使其使用对手的密钥?
我听说过“软件HSM”。他们使用的是什么技术,如此
浏览 0提问于2017-05-20得票数 1
我们在应用程序中使用Pkcs11Interop API来使用存储在Thales nShield HSM中的私钥对摘要进行签名。
为了满足DR方案的需要,我们的数字签名应用程序托管服务器注册为主Thales nShield HSM和DR(备用) nShield HSM的HSM客户端。这里,基于以下假设:安装的安全世界软件将在创建nShield连接之前检测活动的高速移动,这两个Thales的IP地址是不同的。
当我们通过关闭主Thales nShield HSM来测试DR(故障转移)方案时,Pkcs11Interop给出了错误:
方法C_Initialize返回CKR_FUNCTION_FAIL
浏览 0提问于2018-07-25得票数 0
回答已采纳
我要求将RSAPrivateKey包装在HSM中,以便可以将其发送到Microsoft CA进行密钥存档,但我不确定采取什么方法。
问题是Microsoft RSA key格式是专有的,似乎既不支持pkcs11,也不支持我公司使用的nCipher HSM。
如果这只是一个RSAPrivateKey,那么在HSM中生成密钥对、在HSM中加载包装密钥、包装RSAPrivateKey并提取包装密钥字节将是很简单的。显然,由于不支持这种key blob格式,我需要采取不同的方法。
我的第一个想法是扩展RSAPrivateKey并覆盖getEncoded()方法以返回这种专有的键格式。我正在使用IAI
浏览 3提问于2013-02-12得票数 3
2回答
我有一个处理加密数据的应用程序,我试图尽可能小心地使密钥不可访问,但当然应用程序需要以某种方式知道它们。
我已经将键硬编码为函数返回值,所以它们不会在内存中停留太长时间,但是我猜它们仍然可以被读取。有没有办法让一个内存区域变得不可访问?我不是一个计算机科学家,所以如果这是一个众所周知的问题(我怀疑它是),我很抱歉。
保护它们免受反编译器的攻击是另一天的问题...
提前感谢!
浏览 0提问于2016-07-26得票数 1
1回答
云环境下的密钥库管理
、、、、
我有一个java密钥库,在其中我存储了一个内容签名密钥和几个供我的应用程序使用的证书。密钥库可以由web门户更新,即可以在其中添加或删除证书。
现在,该应用程序将部署在弹性云上,并将运行多个实例。我被困在如何在多个实例之间同步这个密钥库,以便所有实例都有可用的签名密钥和公共证书。我是否应该将密钥和证书存储在数据库中?
浏览 1提问于2016-06-21得票数 1
1回答
对于我们的项目,我们使用第三方应用程序(安装在他们的云上)。出于密码目的,此应用程序需要访问位于我们局域网中的HSM。
所以在安全方面,我在想:
如果HSM可以通过VPN通过互联网访问,我们将承担什么风险(考虑到所有的enc/dec都由HSM完成)?
此配置是否工作?<Internet><FW><Reverse Proxy><FW><HSM><FW><LAN>
提前感谢您的帮助
浏览 0提问于2018-09-27得票数 1
回答已采纳
1回答
我是数据安全领域的新手,我正在为一个用于管理某些文件的应用程序开发PoC。现在,这些文件可能是任何东西,从休假形式到潜在的保密协议。作为一名新手,我确实建议我的团队,一旦PoC完成,我们应该聘请一名安全专家和/或进行一次安全审计。
我想以分散的方式存储加密文件的问题。我要用IPFS来做这个。但是由于文件是加密的,所以我需要安全地存储加密密钥。
目前的解决方案我已经通过使用Hashicorp和它的Transit实现了加密密钥的信封加密。因此,当用户上传一个文件时,生成一个新的加密密钥(数据加密密钥- DEK),对该文件进行加密,然后通过HTTPS将加密密钥发送到主机Vault并加密(使用密钥加密
浏览 0提问于2020-09-08得票数 1
有没有人用过CKO_VENDOR_DEFINED来创建一个键或数据对象?
几乎没有任何文档(包括来自Oasis的母加载)说明如何做这件事,或者哪些属性是适用的/不适用的。
不幸的是,希望可以理解,我不能准确地描述我想要做的事情。
但它的要点是,我需要能够对我们的密钥类型具有更多的attribute<=>mechanism灵活性,并且能够修改令牌上的密钥。
如果有任何建议或帮助,我将不胜感激。
浏览 1提问于2016-03-01得票数 1
也许我只是想要正确的搜索词。
mod_nss和NSS信息/设计思想是,如果密钥存储设备(在这种情况下,HSM)能够执行DH/SSL握手,那么将使用该设备(密钥不是从HSM中提取,而是在主机上用于握手,而是留在HSM上,而HSM用于执行握手)。这样做的想法是,如果您偏执(或受监管)到需要使用HSM,您将不希望您的密钥提取到主机,因为这暴露了他们的妥协。
HSM管理握手太慢
问题是握手的持续时间。即使没有PCIe,直接附加高速电机,单次TLS握手所需的时间也是可以测量的。如果您突然试图使用HSM进行握手,您将受到PCIe瓶颈和所涉及的所有管理费用的限制-- HSM通常是为安全性而构建的,而不是为了
浏览 0提问于2017-04-26得票数 1
我想将一个字符串和一个模型(对象)发送到另一个操作。
var hSM = new HotelSearchModel();
hSM.CityID = CityID;
hSM.StartAt = StartAt;
hSM.EndAt = EndAt;
hSM.AdultCount = AdultCount;
hSM.ChildCount = ChildCount;
return RedirectToAction("Search", new { culture = culture, hotelSearchModel = hSM });
当我使用new关键字时,它会发送null对象,
浏览 1提问于2013-05-10得票数 6
回答已采纳
5回答
我的应用程序中有一个使用SSL的客户机-服务器体系结构。目前,私钥存储在CAPI的密钥库位置。出于安全原因,我希望将密钥存储在一个更安全的地方,理想情况下是为此目的而构建的硬件签名模块(HSM)。不幸的是,由于私钥存储在这样的设备上,我不知道如何在我的应用程序中使用它。
在服务器上,我简单地使用了SslStream类和AuthenticateAsServer(...)调用。此方法接受加载了私钥的X509Certificate对象,但由于私钥存储在HSM上的安全(例如,不可导出)位置,我不知道如何做。
在客户机上,我使用一个HttpWebRequest对象,然后使用ClientCertifica
浏览 2提问于2009-08-05得票数 3
1回答
计划有以下要求:
客户端应用程序应该使用组件1、组件2和ZPK (zone PIN密钥)执行加密/解密。客户端应以加密形式从主机获取此密钥)。
主机应用程序应该使用密钥MK (由组件1和组件2形成的主密钥)和ZPK来执行加密/解密。
下面是我如何生成组件
Online-AUTH>GC
Enter LMK id [0-2]: 0
Enter key length [1,2,3]: 2
Enter key type: 002
Enter key scheme: u
Clear component: **** **** **** **** **** **** **** ****
浏览 1提问于2015-10-15得票数 3
2回答
我有一个YubiKey近地天体,它有许多惊人的功能,如OTP、U2F和PGP智能卡,用于PGP/GPG,甚至SSH密钥。我最近为该设备发现的应用程序之一是PIV小程序,您可以使用它来安全地存储SSL证书的私有RSA密钥。
我觉得这非常有趣,因为如果没有物理访问,盗取SSL证书就会变得更加困难。
这样的智能卡可以用于SSL服务器的私钥吗?我从未见过Apache或nginx中的配置,这似乎表明除了基于文件的SSL私钥之外,其他任何东西都支持。
此外,PIV小程序的演示还展示了如何创建基于本地文件的私钥,然后将其发送到智能卡;是否有一种方法可以安全地在智能卡上创建密钥,使其永远不会存储在任何地方?我
浏览 0提问于2014-12-31得票数 5
回答已采纳
2回答
我为客户编写Python脚本,以便在货币/证券交易所网站上进行"algo交易“。我的客户通常在传统的个人台式电脑上运行我的脚本,通常也使用这些个人电脑进行网页浏览活动。环境总是Linux;通常是Debian。在行业中,Python是以这种方式进行algo交易的相当标准的;无论是在制度上还是在私下里。
但是,我不禁发现了安全模型中的一个缺陷。
每个交换都有一个稍微不同的身份验证方法,但简而言之,有:
USER INPUTS:
api['secret'] # private key from exchange
USER CONFIG FILE CONTAIN
浏览 0提问于2019-12-30得票数 5
我已经使用PKCS11Interop generate key API在HSM中生成了一个RSA公私密钥对。我想导出密钥对。我使用Findobject API来获取密钥,GetAttributeValue接口返回一个ObjectHandle,当我使用Findobject API读取属性时,我无法读取密钥的值。当我将密钥的属性CKA_EXTRACTABLE设置为true时,我不能完全生成密钥。
另外,我需要在HSM中导入外部提供的密钥对。
任何帮助都是非常感谢的。
浏览 4提问于2017-02-27得票数 5
1回答
我们可以将pfx证书存储在哪里,以便在需要时使用java应用程序在安全模式下获取私钥和公钥。
浏览 0提问于2018-10-26得票数 1
2回答
HSM公司通常提供一个PKCS#11 API来使用HSM,还是仅仅提供自己的加密API?
在每种情况下,如何集成到Linux应用程序(使用OpenSSL,可能就像如何为第三方库调用openssl引擎一样)?Windows应用程序呢?
什么是一般的首选?PKCS#11 API还是泛型API?
两者的优点和缺点是什么?
一位HSM供应商告诉我们,他们可以同时提供一个PKCS#11 API和一个用C语言编写的密码API。我正在努力理解这些术语,因此也就是这个问题!
一个简单的概述将让我进一步研究:)
非常感谢!
浏览 3提问于2017-04-05得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
