Pkcs11 ECDSA 签名返回 CKR_DATA_INVALID

珍惜时间，勤奋学习！今天给大家带来《Pkcs11 ECDSA 签名返回 CKR_DATA_INVALID》，正文内容主要涉及到等等，如果你正在学习Golang，或者是对Golang有疑问，欢迎大家关注我！后面我会持续更新相关内容的，希望都能帮到正在学习的大家！

我正在使用加载了可信证书的 yubikey 上的 piv 与服务器进行相互 tls。我正在使用这个 golang pkcs11 库 这是 opensc-pkcs11.so 的包装器

我正在使用 yubikey 实现一个签名者接口，以便它可以用作 go 的 crypto/tls 库的私钥。

我的签名者函数如下所示（我在错误中添加了数据以进行调试）：

func (signer *pkcs11privatekeyecdsa) sign(rand io.reader, digest []byte, opts crypto.signeropts) ([]byte, error) {
    return signer.yubi.dsageneric(signer.handle, pkcs11.ckm_ecdsa, digest)
}

func (yubi yubiinfo) dsageneric(key pkcs11.objecthandle, mechanism uint, digest []byte) ([]byte, error) {
    var err error
    var sigbytes []byte
    var sig dsasignature
    mech := []*pkcs11.mechanism{pkcs11.newmechanism(mechanism, nil)}
    fmt.println("siging with key: ", key)
    if err = yubi.ctx.signinit(yubi.ses, mech, key); err != nil {
        return nil, fmt.errorf("signer init: %v", err)
    }
    sigbytes, err = yubi.ctx.sign(yubi.ses, digest)
    if err != nil {
        return nil, fmt.errorf("signer sign: %v, len: %d, \n %s", err, len(digest), string(digest))
    }
    err = sig.unmarshalbytes(sigbytes)
    if err != nil {
        return nil, err
    }

    return sig.marshalder()
}

尝试与上述代码中的签名者进行 tls 握手会产生以下错误消息：

rpc error: code = Unavailable desc = connection error: desc = "transport: authentication handshake failed: signer sign: pkcs11: 0x20: CKR_DATA_INVALID, len: 32, \n ZX\xe0ތ\xcdў\xbf\xdeTh.\xacS\x1d\x89\xeeH\xe0\xf0$\xd1\xda\xf7\t\xfan:\xa7\b\xb6"

什么可能会使摘要对签名者无效？根据我在网上找到的错误含义：

ckr_data_invalid：加密操作的明文输入数据无效。该返回值的优先级低于 ckr_data_len_range。

数据的长度显然是正确的，pkcs11 在签名之前还在摘要中检查什么？

谢谢！

正确答案

加载到插槽中的密钥是 RSA 密钥，而不是 EC 密钥，这意味着执行 ECDSA 失败。

以上就是《Pkcs11 ECDSA 签名返回 CKR_DATA_INVALID》的详细内容，更多关于的资料请关注golang学习网公众号！