Openssl、engine_pkcs11、libp11/OpenSC

Question

friend 们，我有一张智能卡，我想集成 OpenSSL。计划通过 OpenSSL 中的“ENGINE”系统来实现。但是，我的理解有问题。事实上有 engine_pkcs11 这样的东西, opensc , libp11 , pkcs11-helper .谁能解释一下关系？首先要编译什么以及要编译什么？

给我写一个带有外部 PKCS #11 函数的库来将它连接到 openssl 就足够了吗？我要取库的源代码engine_pkcs11并修改它以适合我的卡？
我需要这个opensc , libp11 , pkcs11-helper ?那么，为什么需要这些库呢？

另外，我应该注意智能卡不支持 RSA 算法，这将是一个不同的算法 !!!!

真的很期待你的回答!

Answer 1

需要 OpenSC 的 pkcs#11 的 openssl 引擎才能使 pkcs#11 的 openssl 和智能卡之间的交互成为可能。

该引擎由 OpenSC 构建在 libp11 之上，这是一个抽象/包装层/接口(interface)，基于 pkcs#11 标准 API 构建以用于实用目的。

从上到下，我们有:

openssl(由 Openssl 提供)

openssl pkcs#11 引擎(由 OpenSC 提供)

libp11(由 OpenSC 提供)

pkcs#11 标准 API(由 RSA 实验室提供)

pkcs#11 模块(由智能卡供应商提供)

因此，在最佳情况下，您只需为特定的智能卡硬件编写 pkcs#11 模块，然后使用 pkcs#11 引擎加载它。

这里的问题是 pkcs#11 引擎目前仅支持 CKM_RSA_PKCS，因此，您可能还必须扩展当前的 pkcs#11 openssl 引擎。

更多信息请访问 https://github.com/OpenSC/OpenSC/wiki