AWS cloudhsm C_FindObjectsInit CKR_ATTRIBUTE_TYPE_INVALID

时间:2018-12-18 14:27:59

标签: java amazon-web-services pkcs#11 hsm iaik-jce

使用iaik.pkcs.pkcs11包装器在ubuntu上与cloudhsm通信。

当尝试检索类RSAPublicKey的所有公共密钥时,出现此异常:

iaik.pkcs.pkcs11.wrapper.PKCS11Exception: CKR_ATTRIBUTE_TYPE_INVALID
at iaik.pkcs.pkcs11.wrapper.PKCS11Implementation.C_FindObjectsInit(Native Method)
at iaik.pkcs.pkcs11.Session.findObjectsInit(Session.java:642)

使用我设法找到的日志记录pkcs11包装器:

0x00002b8c : 0x438b4700 : Calling C_FindObjectsInit
0x00002b8c : 0x438b4700 : Input
0x00002b8c : 0x438b4700 :  hSession: 10240
0x00002b8c : 0x438b4700 :  pTemplate: 0x7f2a58031f60
0x00002b8c : 0x438b4700 :  ulCount: 4
0x00002b8c : 0x438b4700 :   *** Begin attribute template ***
0x00002b8c : 0x438b4700 :   Attribute 0
0x00002b8c : 0x438b4700 :    Attribute: 256 (CKA_KEY_TYPE)
0x00002b8c : 0x438b4700 :    pValue: 0x7f2a58011c10
0x00002b8c : 0x438b4700 :    ulValueLen: 8
0x00002b8c : 0x438b4700 :    *pValue: HEX(0000000000000000)
0x00002b8c : 0x438b4700 :   Attribute 1
0x00002b8c : 0x438b4700 :    Attribute: 1073743360 (CKA_ALLOWED_MECHANISMS)
0x00002b8c : 0x438b4700 :    pValue: 0x7f2a58031ed0
0x00002b8c : 0x438b4700 :    ulValueLen: 32
0x00002b8c : 0x438b4700 :    *pValue: HEX(4300000000000000440000000000000045000000000000000D00000000000000)
0x00002b8c : 0x438b4700 :   Attribute 2
0x00002b8c : 0x438b4700 :    Attribute: 264 (CKA_SIGN)
0x00002b8c : 0x438b4700 :    pValue: 0x7f2a5802f450
0x00002b8c : 0x438b4700 :    ulValueLen: 1
0x00002b8c : 0x438b4700 :    *pValue: HEX(01)
0x00002b8c : 0x438b4700 :   Attribute 3
0x00002b8c : 0x438b4700 :    Attribute: 0 (CKA_CLASS)
0x00002b8c : 0x438b4700 :    pValue: 0x7f2a5802f470
0x00002b8c : 0x438b4700 :    ulValueLen: 8
0x00002b8c : 0x438b4700 :    *pValue: HEX(0300000000000000)
0x00002b8c : 0x438b4700 :   *** End attribute template ***
0x00002b8c : 0x438b4700 : Returning 18 (CKR_ATTRIBUTE_TYPE_INVALID)

但无法理解问题所在。 cloudhsm也应适当允许所有机制。

2 个答案:

答案 0 :(得分:2)

如果我正确读取了pkcs11-logger的输出,则这是您的搜索模板:

CKA_CLASS = CKO_PRIVATE_KEY
CKA_KEY_TYPE = CKK_RSA
CKA_SIGN = CK_TRUE
CKA_ALLOWED_MECHANISMS = { CKM_SHA256_RSA_PKCS_PSS, CKM_SHA384_RSA_PKCS_PSS, CKM_SHA512_RSA_PKCS_PSS, CKM_RSA_PKCS_PSS }

对我来说似乎完全没问题。

不幸的是,PKCS#11 API没有提供详细信息,该细节来自提供的模板的确切属性导致了CKR_ATTRIBUTE_TYPE_INVALID错误,但是许多PKCS#11库支持某种内部日志记录机制,这可能揭示错误的真正原因。启用日志记录所需的确切步骤应在PKCS#11库供应商提供的文档中提供。

答案 1 :(得分:1)

有关此问题的AWS支持:cloudhsm不接受C_FindObjectsInit调用的任何允许的机制属性。

相关问题
最新问题