我们正在使用PKCS11INTEROP库来连接NShield HSM。要在HSM内执行任何操作(生成/加密/解密),您需要首先获取插槽,然后使用PIN登录到插槽。这一切都按预期工作。
NShield HSM允许以两种方式保护您的密钥模块保护和令牌保护。 NShield客户端软件为您提供实用程序KSAFE来管理HSM中的密钥。如果您正在使用KSAFE实用程序并且希望通过模块保护来保护您的密钥,那么您不必提供PIN,而如果密钥受到令牌保护的保护,PIN将成为必需的。
所以我的问题是:我们是否可以使用PKCS11INTEROP在HSM内执行操作而无需PIN,那么它是基于模块的保护吗?
答案 0 :(得分:1)
是的,你可以。如果我没记错,模块保护的密钥位于第一个加速器插槽下面。如果设置CKNFAST_FAKE_ACCELERATOR_LOGIN配置变量,甚至可以在加速器插槽上执行登录。请在nShield HSM用户指南中查找。