- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
我正在尝试在 ACOS5-64 智能卡和 OMNIKEY 3121 读卡器上创建 AES 256 key ,使用 python 中的 PKCS11(使用 PyKCS11 库)。到目前为止,所有“标准”操作似乎都适用于非对称加密。我已经运行了大量代码示例和 pkcs11-tool 命令,以初始化 token 、设置/更改 PIN、创建 RSA key 对等。因此,驱动程序都是可用的(pcscd、CCID、PKCS11 中间件)。
以下代码导致了问题:
from PyKCS11 import *
import getpass
libacospkcs = '/usr/lib/libacospkcs11.so'
def createTokenAES256(lbl):
pkcs11 = PyKCS11Lib()
pkcs11.load(libacospkcs)
theOnlySlot = pkcs11.getSlotList()[0]
session = pkcs11.openSession(theOnlySlot, CKF_SERIAL_SESSION | CKF_RW_SESSION)
PIN = getpass.getpass('Enter User PIN to login:')
session.login(PIN)
t = pkcs11.getTokenInfo(theOnlySlot)
print t.label
print t.model
print t.serialNumber
template = (
(CKA_CLASS, CKO_SECRET_KEY),
(CKA_KEY_TYPE, CKK_AES),
(CKA_VALUE_LEN, 32),
(CKA_LABEL, "A"),
(CKA_PRIVATE, True),
(CKA_SENSITIVE, True),
(CKA_ENCRYPT, True),
(CKA_DECRYPT, True),
(CKA_TOKEN, True),
(CKA_WRAP, True),
(CKA_UNWRAP, True),
(CKA_EXTRACTABLE, False))
ckattr = session._template2ckattrlist(template)
m = LowLevel.CK_MECHANISM()
m.mechanism = LowLevel.CKM_AES_KEY_GEN
key = LowLevel.CK_OBJECT_HANDLE()
returnValue = pkcs11.lib.C_GenerateKey( session.session, m, ckattr, key)
if returnValue != CKR_OK:
raise PyKCS11Error(returnValue)
# Now run the method to create the key
createTokenAES256('TestAESKey')
但是,运行时出现错误:
~/projects/smartcard $ python testpkcs11again.py
Enter User PIN to login:
Token #A
ACOS5-64
30A740C8704A
Traceback (most recent call last):
File "testcreateaes.py", line 43, in <module>
createTokenAES256('TestAESKey')
File "testcreateaes.py", line 40, in createTokenAES256
raise PyKCS11Error(returnValue)
PyKCS11.PyKCS11Error: CKR_ATTRIBUTE_VALUE_INVALID (0x00000013)
问题是,如果我将 CKA_TOKEN 行切换为 False,它就会“起作用”。当然,通过将其设置为 false,它使 key 成为 session 对象而不是 token 对象(即在我注销后, key 被删除)。将 pkcs11-tool 与 --list-objects 一起使用, key 不存在。我可以使用 ACSCMU(用于 token 管理的 GUI 工具),我可以在“ secret key 管理器”中创建一个 AES key ,它确实创建了一个持久 key 。但我无法查看 ACSCMU 正在做什么以使其持久化(它可能根本没有使用 PKCS11)。
如果我不得不猜测这个问题,我猜它与 session 有关。如果 CKA_TOKEN=True 无效,那么 token 似乎实际上并未处于 RW 模式(如第 9 行中的 CKF_RW_SESSION 所建议的)。到目前为止,我不确定还可以尝试什么或如何调试它。
最佳答案
在通过大量示例进行大量挖掘后,我自己弄清楚了:如果您要创建持久性 (CKA_TOKEN=True) 对象,则 CKA_ID 是必需的属性。不确定我应该如何知道(从未在任何文档中看到它),但在我添加它之后它确实工作得很好。
如果您正确设置了驱动程序,此代码应该可以工作:
from PyKCS11 import *
import getpass
libacospkcs = '/usr/lib/libacospkcs11.so'
def createTokenAES256(label):
pkcs11 = PyKCS11Lib()
pkcs11.load(libacospkcs)
theOnlySlot = pkcs11.getSlotList()[0]
session = pkcs11.openSession(theOnlySlot, CKF_SERIAL_SESSION | CKF_RW_SESSION)
PIN = getpass.getpass('Enter User PIN to login:')
session.login(PIN)
print pkcs11.getTokenInfo(theOnlySlot)
template = (
(CKA_CLASS, CKO_SECRET_KEY),
(CKA_KEY_TYPE, CKK_AES),
(CKA_VALUE_LEN, 32),
(CKA_LABEL, label),
(CKA_ID, "1244"),
(CKA_PRIVATE, True),
(CKA_SENSITIVE, True),
(CKA_ENCRYPT, True),
(CKA_DECRYPT, True),
(CKA_TOKEN, True),
(CKA_WRAP, True),
(CKA_UNWRAP, True),
(CKA_EXTRACTABLE, False))
ckattr = session._template2ckattrlist(template)
m = LowLevel.CK_MECHANISM()
m.mechanism = LowLevel.CKM_AES_KEY_GEN
key = LowLevel.CK_OBJECT_HANDLE()
returnValue = pkcs11.lib.C_GenerateKey( session.session, m, ckattr, key)
if returnValue != CKR_OK:
raise PyKCS11Error(returnValue)
# Now execute the above to create AES256 key
createTokenAES256('TestKey')
在此之后,我可以注销卡并使用 pkcs11-tool 查看新对象:
$ pkcs11-tool --module=/usr/lib/libacospkcs11.so --list-objects
Using slot 0 with a present token (0x0)
Secret Key Object; unknown key algorithm 31
label: TestKey
ID: 31323434
Usage: encrypt, decrypt, wrap, unwrap, derive
关于python - 智能卡 PKCS11 AES key 生成失败,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30106966/
我正在尝试通过 java smartcardio 读取印度政府标准的“Scosta”智能卡我使用的代码是 package com.example.smartcardreader; import jav
下面的代码适用于 2 个不同的加密智能卡库(certum cryptoCertum3PKCS.dll 和 cencert enigmap11.dll ),但在提供用于 100%正确 有人知道我做错了什
有没有人有阅读 eVRC(电子车辆登记卡)和 JAVA 中的 APD U 命令的经验? 任何例子都会有用。 提前致谢。 最佳答案 我强烈建议您使用 javax.smartcardio 库。请注意,在后
我正在将一个旧项目迁移到 Java,但我遇到了一些有关智能卡访问的问题。由于缺乏文档,我不得不自己寻找解决方法,所以我希望你们能帮助我。 我有一张智能卡和一个用于访问卡功能的 dll 库(中间件)。使
我刚刚开始了解一些智能卡,并且正在使用 pyscard 进行练习。 所以我有 2 个问题(我使用的是 Visa 预付卡): 1)我在网上看到有人说有一个方法可以知道你的卡可以使用哪些选择方式,通过他的
Closed. This question needs debugging details。它当前不接受答案。 想改善这个问题吗?更新问题,以便将其作为on-topic用于堆栈溢出。 6个月前关闭。
我正在使用 BouncycaSTLe 来管理我的项目的加密功能。我设法使用 CMS 进行加密和解密,其中两个 key 都存储在我的文件系统中(.cert 和 .p12)。 这是我实际使用的两个函数:
我正在尝试使用 CredMartialCredential 和 LogonUser 为使用智能卡的用户帐户获取访问 token 。有两个帐户可以使用智能卡进行身份验证(描述(有点)here)。 通过关
我们尝试在 iPhone 上连接 PIV 智能卡。我们已经加载了必要的库并且可以发送命令。使用获取数据和获取响应命令的组合,我们能够从智能卡检索所有相关证书。我们现在尝试发送通用身份验证命令来签署一些
我在使用智能卡签署 PDF 文档时遇到问题。它适用于不合格的证书,但不适用于合格的证书。我正在使用 SunPKCS11 提供程序。这是 CryptoTech 卡。这是代码的一部分,我尝试在该提供程序上
我正在为 ISO 7816 卡编写智能卡程序,我需要更新记录。我用JAVA和javax.smartcardio编写程序图书馆。 我使用以下命令选择文件:ins = 0xA4 我可以使用此命令读取记录:
我正在开发用于读取 EMV 卡的智能卡读卡器。我正在处理一张万事达卡,我试图读取特定记录。结果显示读数很好,但是当我解析结果时,它们似乎不遵循 TLV 标准,其中结果采用 Tag/Template-L
我有一个网络服务器服务,客户端请求智能卡计算并获得结果。在服务器正常运行期间,可用的智能卡数量可能会减少或增加,例如,我可以从读卡器中物理添加或移除智能卡(或许多其他事件......如异常等)。 智能
[我的设置] RDP 客户端 (Win7) ------------------RDP------------------------ -> 带智能卡的远程服务器 (Win2k8R2) 我发现无数的答
我可以毫无问题地从智能卡发送大部分数据。我注意到出于某种原因我总是需要删除 APDU 中的前 6 个字节才能获取真实数据。 但是,当发送一个特定数据时,很难知道该数据在 APDU 中的位置。 这是Ja
我也在使用 C++(Windows API)和 Java 的 SmartCard API。 我在删除操作系统后获取 ATR 时遇到问题。我的申请是为了从智能卡中删除操作系统。当操作系统被删除时,卡的
我正在编写一个Java程序,它使用USB证书(智能卡)进行加密和签名。我有一个共享库(Windows 上为 .dll,Linux 上为 .so),它为硬件实现了 PKCS11。 我正在搜索现有的解决方
我目前可以正确使用 pyscard 与我的智能卡通信,但是当 apdu 大小超过 255 字节时,我需要接收命令的剩余字节。 用什么方法获取 pyscard 中的剩余字节?根据我的理解,sw2 应该是
我必须调用服务器上的脚本(php、jsp - 什么都行)。但是此服务器受客户端身份验证保护。现在我可以使用 P12-Keystore 来完成它。代码: private void install
我正在尝试在 ACOS5-64 智能卡和 OMNIKEY 3121 读卡器上创建 AES 256 key ,使用 python 中的 PKCS11(使用 PyKCS11 库)。到目前为止,所有“标准”
我是一名优秀的程序员,十分优秀!