Что делает (118) Извлечь объект Опция в утилиту ckdemo do

Question

Я использую Safenet Luna HSM 5.1. и я пытаюсь выяснить, можно ли извлечь SecretKey из моего HSM, используя опцию ckdemo tools # 118 Extract Object.

Весь смысл HSM заключается в том, что из него невозможно извлечь из него закрытые ключи, но этот вариант делает меня очень подозрительным.

Answer 1

(Хотел написать комментарий, но он получил довольно долго ...)

Поскольку эта команда ckdemo является not documented вы можете захватывать и анализировать непосредственно на уровне PKCS11 интерфейса.

Для захвата, вы можете использовать:

• cklog предоставляется в Luna SA SDK
• некоторые другие (1, 2) PKCS11 регистратор

Чтобы проанализировать, изучить захваченный журнал и просмотрите используемые механизмы в документации.

Некоторых дополнительные (случайные) Примечания:

• SafeNet иногда использует свои собственные расширения CT_.. API, которые не будут захвачены родовым PKCS11 регистратором
• Помните, что хранение ключа в HSM не означает, что его действительно неэкстрагируемо. Вы должны тщательно настроить его на неэкстрактивность (внимательно прочтите документацию).

Удачи вам!

Desclaimer: Я не специалист по криптографии, поэтому, пожалуйста, подтвердите мои мысли.