【发布时间】:2011-07-31 18:33:33
【问题描述】:
如何将Hardware Security Module encryption 与 C# 应用程序集成?
【问题讨论】:
-
假设:HSM => 硬件安全模块。
标签: c# encryption hsm hardware-security-module
【发布时间】:2011-07-31 18:33:33
【问题描述】:
HSM 通常表示硬件安全模块。这是一种通常会物理保护私钥或秘密密钥的设备,以使它们永远不会进入您计算机的 RAM。大多数 HSM 会为您进行加密和签名,而不仅仅是持有密钥。
可以通过少数 API 访问 HSM 的加密能力。包括PKCS#11、Chil(OpenSSL)。 MSCAPI 和 CNG 供应商也存在使用 HSM。
大多数 HSM 供应商都会为您提供 PKCS#11 库或 CAPI/CNG 提供程序。一旦你有了这个,它就是针对已发布的 API 进行编程的问题。
通常,使用 HSM 大致如下:
provider = HSM.Connect()
keyhandle = provider.LoadKey("my_rsa_key")
signature = provider.Sign( keyhandle, "Sha1WithRSA", "myData" )
provider.UnloadKey( keyhandle )
不幸的是,CAPI 和 CNG 的托管部分不允许访问第三方提供商,您需要通过 C# 使用 CAPI/CNG HSM。您必须使用 PInvoke 调用直接调用非托管 CAPI/CNG 或 PKCS#11 库代码。
【讨论】:
如果它是符合 PKCS #11 的设备,您可以使用 NCryptoki。从他们的网站:
NCryptoki 是一个用于 .NET 的库 实现 PKCS#11 的框架 规范并提供 API C#、VB.NET、Visual Basic 6、Delphi 和 其他 COM 互操作语言 集成符合 PKCS#11 的令牌 在任何应用程序中。
[...]
主要特点:
- 符合 PKCS#11 2.20 规范
- 符合任何 PKCS#11 智能卡/令牌/HSM
- 32 或 64 位平台
- .NET Framework 2.0、3.0、3.5 和 4.0
【讨论】:
我们使用了Pkcs11Interop,效果非常好。它是一个 Apache 2.0 许可的开源库。据我所知,它是最新的并且仍在维护中。
【讨论】: