aws cloudhsm C_FindObjectsInit CKR_ATTRIBUTE_TYPE_INVALID - PullRequest
Новая
       86

aws cloudhsm C_FindObjectsInit CKR_ATTRIBUTE_TYPE_INVALID

0 голосов
/ 18 декабря 2018

Использование оболочки iaik.pkcs.pkcs11 для связи с cloudhsm в Ubuntu.

При попытке получить все открытые ключи класса RSAPublicKey я получаю это исключение: 

iaik.pkcs.pkcs11.wrapper.PKCS11Exception: CKR_ATTRIBUTE_TYPE_INVALID
at iaik.pkcs.pkcs11.wrapper.PKCS11Implementation.C_FindObjectsInit(Native Method)
at iaik.pkcs.pkcs11.Session.findObjectsInit(Session.java:642)

Использованиемне удалось найти оболочку pkcs11 для регистрации: 

0x00002b8c : 0x438b4700 : Calling C_FindObjectsInit
0x00002b8c : 0x438b4700 : Input
0x00002b8c : 0x438b4700 :  hSession: 10240
0x00002b8c : 0x438b4700 :  pTemplate: 0x7f2a58031f60
0x00002b8c : 0x438b4700 :  ulCount: 4
0x00002b8c : 0x438b4700 :   *** Begin attribute template ***
0x00002b8c : 0x438b4700 :   Attribute 0
0x00002b8c : 0x438b4700 :    Attribute: 256 (CKA_KEY_TYPE)
0x00002b8c : 0x438b4700 :    pValue: 0x7f2a58011c10
0x00002b8c : 0x438b4700 :    ulValueLen: 8
0x00002b8c : 0x438b4700 :    *pValue: HEX(0000000000000000)
0x00002b8c : 0x438b4700 :   Attribute 1
0x00002b8c : 0x438b4700 :    Attribute: 1073743360 (CKA_ALLOWED_MECHANISMS)
0x00002b8c : 0x438b4700 :    pValue: 0x7f2a58031ed0
0x00002b8c : 0x438b4700 :    ulValueLen: 32
0x00002b8c : 0x438b4700 :    *pValue: HEX(4300000000000000440000000000000045000000000000000D00000000000000)
0x00002b8c : 0x438b4700 :   Attribute 2
0x00002b8c : 0x438b4700 :    Attribute: 264 (CKA_SIGN)
0x00002b8c : 0x438b4700 :    pValue: 0x7f2a5802f450
0x00002b8c : 0x438b4700 :    ulValueLen: 1
0x00002b8c : 0x438b4700 :    *pValue: HEX(01)
0x00002b8c : 0x438b4700 :   Attribute 3
0x00002b8c : 0x438b4700 :    Attribute: 0 (CKA_CLASS)
0x00002b8c : 0x438b4700 :    pValue: 0x7f2a5802f470
0x00002b8c : 0x438b4700 :    ulValueLen: 8
0x00002b8c : 0x438b4700 :    *pValue: HEX(0300000000000000)
0x00002b8c : 0x438b4700 :   *** End attribute template ***
0x00002b8c : 0x438b4700 : Returning 18 (CKR_ATTRIBUTE_TYPE_INVALID)

, но я не могу понять, в чем проблема.Все механизмы должны быть правильно разрешены cloudhsm.

Ответы [ 2 ]

0 голосов
/ 29 января 2019

Из поддержки AWS по этому вопросу: cloudhsm не принимает никаких разрешенных атрибутов механизма для вызова C_FindObjectsInit.

0 голосов
/ 20 декабря 2018

Если я правильно прочитал вывод pkcs11-logger , то это ваш шаблон поиска: 

CKA_CLASS = CKO_PRIVATE_KEY
CKA_KEY_TYPE = CKK_RSA
CKA_SIGN = CK_TRUE
CKA_ALLOWED_MECHANISMS = { CKM_SHA256_RSA_PKCS_PSS, CKM_SHA384_RSA_PKCS_PSS, CKM_SHA512_RSA_PKCS_PSS, CKM_RSA_PKCS_PSS }

Мне кажется, это вполне нормально.

К сожалению, API PKCS # 11 не предоставляет подробностей о том, какой именно атрибут из предоставленного шаблона вызвал ошибку CKR_ATTRIBUTE_TYPE_INVALID, но многие библиотеки PKCS # 11 поддерживают какой-то внутренний механизм ведения журнала, который может выявить реальную причину ошибки.Точные шаги, необходимые для включения ведения журнала, должны присутствовать в документации, предоставленной поставщиком библиотеки PKCS # 11.

...