我正在尝试在我的应用程序中使用 pkcs11 来访问智能卡。这是“list-slots”命令的输出 -
root@penguin:~/src/tools$ pkcs11-tool -L
Available slots:
Slot 0 (0xffffffffffffffff): Virtual hotplug slot
(empty)
我有两个问题
如何模拟一张假卡,以便插槽 0 中有一个我可以访问的令牌/设备。
我可以创建额外的插槽并向其中添加令牌/设备吗?
如果没有,我该怎么做才能将令牌/设备添加到可用的 Slot 0 中?
【问题讨论】:
标签: cryptography pkcs#11
您需要一个“模块”,一个与特定智能卡接口的动态加载库。如果您的智能卡与 OpenSC 配合使用(例如,处于 PIV 模式的 Yubikey),您将使用 OpenSC 模块,该模块通常位于 Linux 系统上的 /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so 或 macOS 系统上的 /Library/OpenSC/lib/opensc-pkcs11.dylib。如果您没有物理智能卡并且只想使用 PKCS#11 API,您可以安装和使用SoftHSM,它在软件中模拟 PKCS#11 设备。您需要在使用 SoftHSM 之前对其进行一些配置,以创建必要的插槽。 SoftHSM 模块在 Linux 系统上通常位于 /usr/lib/x86_64-linux-gnu/softhsm/libsofthsm2.so。您需要在每次执行pkcs11-tool 时指定--module。
以下是如何设置和使用 SoftHSMv2 的示例:
mkdir softhsm
cd softhsm
echo "directories.tokendir = $PWD/" > softhsm2.conf
export SOFTHSM2_CONF=$PWD/softhsm2.conf
pkcs11-tool -L --module /usr/lib/x86_64-linux-gnu/softhsm/libsofthsm2.so
SoftHSMv2 默认有一个插槽。一旦你在第一个槽中初始化了一个令牌,它将自动添加第二个槽,依此类推。
$ pkcs11-tool --module /usr/lib/x86_64-linux-gnu/softhsm/libsofthsm2.so -L
Available slots:
Slot 0 (0x0): SoftHSM slot 0
token state: uninitialized
$ pkcs11-tool --module /usr/lib/x86_64-linux-gnu/softhsm/libsofthsm2.so --init-token --label my_token
Using slot 0 with a present token (0x0)
Please enter the new SO PIN:
Please enter the new SO PIN (again):
Token successfully initialized
membrane:~ $ pkcs11-tool --module /usr/lib/x86_64-linux-gnu/softhsm/libsofthsm2.so -L
Available slots:
Slot 0 (0x0): SoftHSM slot 0
token label : my_token
token manufacturer : SoftHSM project
token model : SoftHSM v2
token flags : rng, login required, token initialized, other flags=0x20
hardware version : 2.0
firmware version : 2.0
serial num : 5bed215e0df0d1f1
Slot 1 (0x1): SoftHSM slot 1
token state: uninitialized
如果您使用的是硬件智能卡,通常会有一组固定的插槽。
【讨论】: