生成 secp256r1 曲线上的密钥对并使用 PKCS#11 签名

golang学习网今天将给大家带来《生成 secp256r1 曲线上的密钥对并使用 PKCS#11 签名》，感兴趣的朋友请继续看下去吧！以下内容将会涉及到等等知识点，如果你是正在学习Golang或者已经是大佬级别了，都非常欢迎也希望大家都能给我建议评论哈~希望能帮助到大家！

我正在尝试使用 github.com/miekg/pkcs11 在 softhsm2 上生成带有 pkcs#11 的 ec 密钥对

我从这里得到了曲线参数：

https://github.com/anssi-fr/libecc/blob/master/src/curves/known/ec_params_secp256r1.h

但我仍然收到 ckr_general_error，这是我要签名的函数：

func sign() {
  lib := "/usr/lib/softhsm/libsofthsm2.so"
  p := pkcs11.New(lib)
  if p == nil {
    fmt.Printf("Lib not found ", lib)
    return
  }

  p.Initialize()
  defer p.Destroy()
  defer p.Finalize()
  slots, _ := p.GetSlotList(true)
  session, _ := p.OpenSession(slots[0], pkcs11.CKF_SERIAL_SESSION|pkcs11.CKF_RW_SESSION)
  defer p.CloseSession(session)
  p.Login(session, pkcs11.CKU_USER, "xxx")
  defer p.Logout(session)

  //    pkcs11.CKK_ECDSA                            = 0x00000003
    // pkcs11.CKK_EC                               = 0x00000003
    // pkcs11.CKK_X9_42_DH                         = 0x00000004
  // pkcs11.CKK_SEED                             = 0x0000002F
  //    pkcs11.CKC_X_509                            = 0x00000000

  //pkcs11.CKA_OBJECT_ID                        = 0x00000012
  //pkcs11.CKA_NEVER_EXTRACTABLE                = 0x00000164
  //    CKA_EC_PARAMS                        = 0x00000180
  //    CKA_EC_POINT                         = 0x00000181
  publicKeyTemplate := []*pkcs11.Attribute{
  pkcs11.NewAttribute(pkcs11.CKA_CLASS, pkcs11.CKO_PUBLIC_KEY),
  pkcs11.NewAttribute(pkcs11.CKA_KEY_TYPE, pkcs11.CKK_EC),
  //pkcs11.NewAttribute(pkcs11.CKA_OBJECT_ID, 1),
  pkcs11.NewAttribute(pkcs11.CKA_EC_PARAMS, []byte{
    0xFF, 0xFF, 0xFF, 0xFF, 0x00, 0x00, 0x00, 0x00,
    0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF,
    0xBC, 0xE6, 0xFA, 0xAD, 0xA7, 0x17, 0x9E, 0x84,
    0xF3, 0xB9, 0xCA, 0xC2, 0xFC, 0x63, 0x25, 0x51}),//[]byte{0x06, 0x09, 0x2B, 0x06, 0x01, 0x04, 0x01, 0xDA, 0x47, 0x0F, 0x01}),
  //pkcs11.NewAttribute(pkcs11.CKA_EC_POINT, 3),
  //pkcs11.NewAttribute(pkcs11.CKA_EXTRACTABLE, true),
  pkcs11.NewAttribute(pkcs11.CKA_TOKEN, true),
  //pkcs11.NewAttribute(pkcs11.CKA_ENCRYPT, true),
  //pkcs11.NewAttribute(pkcs11.CKA_PUBLIC_EXPONENT, []byte{3}),
  //pkcs11.NewAttribute(pkcs11.CKA_MODULUS_BITS, 1024),
  //pkcs11.NewAttribute(pkcs11.CKA_LABEL, "Null"),
  }
  privateKeyTemplate := []*pkcs11.Attribute{
  pkcs11.NewAttribute(pkcs11.CKA_CLASS, pkcs11.CKO_PRIVATE_KEY),
  pkcs11.NewAttribute(pkcs11.CKA_KEY_TYPE, pkcs11.CKK_EC),
  //pkcs11.NewAttribute(pkcs11.CKA_OBJECT_ID, 2),
  pkcs11.NewAttribute(pkcs11.CKA_EC_PARAMS, []byte{
    0xFF, 0xFF, 0xFF, 0xFF, 0x00, 0x00, 0x00, 0x00,
    0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF,
    0xBC, 0xE6, 0xFA, 0xAD, 0xA7, 0x17, 0x9E, 0x84,
    0xF3, 0xB9, 0xCA, 0xC2, 0xFC, 0x63, 0x25, 0x51}),
  //pkcs11.NewAttribute(pkcs11.CKA_EC_POINT, 3),
  //pkcs11.NewAttribute(pkcs11.CKA_NEVER_EXTRACTABLE, true),
  pkcs11.NewAttribute(pkcs11.CKA_TOKEN, true),
  pkcs11.NewAttribute(pkcs11.CKA_PRIVATE, true),
  pkcs11.NewAttribute(pkcs11.CKA_SIGN, true),
  pkcs11.NewAttribute(pkcs11.CKA_ENCRYPT, true),
  //pkcs11.NewAttribute(pkcs11.CKA_LABEL, "Null"),
  }
  _, priv, err := p.GenerateKeyPair(session,
  []*pkcs11.Mechanism{pkcs11.NewMechanism(pkcs11.CKM_EC_KEY_PAIR_GEN, nil)}, //pkcs11.CKM_EC_KEY_PAIR_GEN
  publicKeyTemplate, privateKeyTemplate)
  if err != nil {
    panic(err)
  }
  p.SignInit(session, []*pkcs11.Mechanism{pkcs11.NewMechanism(pkcs11.CKM_ECDSA_SHA1, nil)}, priv)
  // Sign something with the private key.
  data := []byte("Lets sign this data")

  _, err = p.Sign(session, data)
  if err != nil {
    panic(err)
  }

  fmt.Printf("It works!")
}

解决方案

虽然我同意此代码示例缺乏质量，更多信息会有所帮助，但主要似乎模板是错误的：

机制CKM_EC_KEY_PAIR_GEN只需要公钥模板中CKA_EC_PARAMS中的曲线OID（注释部分是对的，实际代码是错误的）。两个密钥的 CKA_CLASS 和 CKA_KEY_TYPE 以及私钥的 CKA_EC_PARAMS 都会自动设置（请参阅 https://docs.oasis-open.org/pkcs11/pkcs11-curr/v3.0/os/pkcs11-curr-v3.0-os.html#_Toc30061186）。

您可以添加 CKA_TOKEN、CKA_LABEL 或 CKA_ID （注意：CKA_OBJECT_ID 仅为数据对象定义，而不是键）。 从这个开始，不再多了。然后根据需要添加使用限制（CKA_SIGN 等）。

本篇关于《生成 secp256r1 曲线上的密钥对并使用 PKCS#11 签名》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于Golang的相关知识，请关注golang学习网公众号！