我正在使用Python的pkcs11程序包访问存储在Yubikey 5中的X.509证书。使用pkcs11对象访问证书,公钥和私钥与签名和签名验证一样正常。但是,对于我的一生,我无法弄清楚为什么使用公钥加密无法正常工作。这是我的代码:
import pkcs11
from pkcs11 import Attribute, ObjectClass, KeyType, util
lib = pkcs11.lib('/usr/lib/x86_64-linux-gnu/pkcs11/onepin-opensc-pkcs11.so')
token = lib.get_token(token_label='PIV Card Holder pin (PIV_II)'
session = token.open(user_pin=pin)
# Getting a private and a public key as pkcs11 Object
private = next(session.get_objects({
Attribute.CLASS: ObjectClass.PRIVATE_KEY,
}))
public = next(session.get_objects({
Attribute.CLASS: ObjectClass.PUBLIC_KEY,
}))
data = 'Hello, world!'
sig = private.sign(data) # Works!
sig_verif = public.verify(data, sig) # Works!
print("Signature is valid? "+str(sig_verif)) # True
# So far, everything above worked fine.
# ----------
# Now, this is the part that does not work
encrypt_data = public.encrypt(data) # Fails!
上面的最后一行因pkcs11.exceptions.FunctionNotSupported错误而失败。我做了一些研究,发现的解释似乎暗示我使用的openSC库文件(* .so)不支持此功能(加密)。但是,我很难相信考虑到签名功能就可以正常工作。
为了确保可以在会话上下文之外使用此特定的公钥,我使用Crypto包尝试了以下代码:
from Crypto.Cipher import PKCS1_OAEP
public_key = RSA.importKey(public[Attribute.VALUE]) # The content of pkcs11 public key as DER
cipher = PKCS1_OAEP.new(public_key)
encr_data = cipher.encrypt(data) # This works!
因此,似乎使用我的独立公共密钥可以使我加密数据。但是,为什么不能在pkcs11令牌会话的上下文中执行此操作?
然后,我尝试使用pkcs11对象解密函数来尝试解密使用上述Crypto模块生成的数据:
decrypted = private.decrypt(encr_data) # It fails!
上面的操作因pkcs11.exceptions.MechanismInvalid错误而失败。我尝试使用不同的机制,但所有机制均导致相同的错误。有趣的是-似乎pkcs11对象使我至少可以调用解密函数而不会抱怨它不受支持。
我还要提一件事。我检查了证书,发现在扩展->证书密钥用法下,它说:
Critical
Signing
Key Encipherment
我阅读了密钥加密和数据加密之间的区别,并了解到密钥加密用于加密秘密(对称)密钥而不是数据。这可能是我无法在此令牌会话中使用加密功能的原因吗?
任何反馈将不胜感激!
抱歉,但这只是API的一个缺点。由于使用公钥加密不需要任何安全性,因此在Yubikey上实现它没有任何意义。导出公钥值并在主机上执行加密要快得多。
公平地说,Yubikey可能很好,并且可以在Ubikey PKCS#11库中的软件中实现该功能。如果确实需要,那么您可以创建一个新的PKCS#11“包装器”库,该库确实包含软件中缺少的功能。Yubikey确实实现的所有其他命令都可以转发到原始的Yubikey PKCS#11库。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句