libsofthsm2.so和libckteec.so的基本命令

  1. 测试模块是否正常工作
bash 复制代码
sudo pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so --show-info
Cryptoki version 2.30
Manufacturer     SoftHSM
Library          Implementation of PKCS11 (ver 2.2)
  1. 列出所有槽(Slots)
bash 复制代码
sudo pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so --list-slots
sudo softhsm2-util --show-slots
sudo softhsm2-util --delete-token --token=${label}
  1. 列出支持的机制(Mechanisms)
bash 复制代码
sudo pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so --list-mechanisms
sudo pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so --list-mechanisms --slot 0
  1. 列出所有对象(Objects)
bash 复制代码
sudo pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so --login --pin 1234 --list-objects
sudo pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so --slot 0 --login --pin 1234  --list-objects
sudo pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so --list-objects
  1. 生成密钥对(Key Pair)
bash 复制代码
sudo pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so --login --pin 1234 --keypairgen --key-type rsa:2048 --id 2 --label "mytoken"
sudo pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so --login --pin 1234 --generate-keypair --key-type RSA:2048 --label "mytoken" --slot 0
# 需要Slot Token Pin So-Pin
sudo softhsm2-util --init-token --slot 0 --label "mytoken" --pin 1234 --so-pin 12345
sudo pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so --init-token --label "mytoken" --so-pin "12345"
sudo pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so --init-pin --slot 0 --so-pin 12345 --pin 1234
  1. 导出公钥(Public Key)
bash 复制代码
sudo pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so --login --pin 1234 --id 01 --label "mytoken" --type pubkey --read-object --output-file public_key.der
sudo pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so --login --pin 1234 --label "mytoken" --type pubkey --read-object --output-file public_key.der
openssl rsa -inform DER -in public_key.der -pubin -outform PEM -out public_key.pem
  1. 导出私钥(Private Key) - 通常不允许
bash 复制代码
sudo pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so --login --pin 1234 --id 01 --label "mytoken" --type privkey --read-object --output-file private_key.pem
  1. 签名数据(Sign Data)
bash 复制代码
sudo pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so --login --pin 1234 --id 01 --label "mytoken" --sign --mechanism SHA256-RSA-PKCS --input-file data.txt --output-file signature.bin
sudo pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so --login --pin 1234 --label "mytoken" --sign --mechanism SHA256-RSA-PKCS --input-file data.txt --output-file signature.bin
sudo openssl dgst -engine pkcs11 -keyform engine -sign "pkcs11:token=mytoken;object=mytoken;type=private;pin-value=1234" -out signature.bin data.txt
  1. 验证签名(Verify Signature)
bash 复制代码
# sudo pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so --login --pin 1234 --id 01 --label "mytoken" --verify --input-file data.txt --signature signature.bin
# pkcs11-tool 目前不支持直接验证签名的操作,可以使用 OpenSSL 配合 PKCS#11 引擎来实现签名验证
1)
openssl dgst -sha256 -binary -out data.sha256 data.txt
openssl pkeyutl -verify -inkey public_key.pem -pubin -in data.sha256 -sigfile signature.bin
2)
openssl dgst -sha256 -verify public_key.pem -signature signature.bin data.txt
  1. 加密数据(Encrypt Data)
bash 复制代码
# pkcs11-tool 目前不支持直接加密的操作,可以使用 OpenSSL 配合 PKCS#11 引擎来实现签名验证
# sudo pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so --login --pin 1234 --id 01 --label "mytoken" --encrypt --input-file data.txt --output-file ciphertext.bin
# sudo pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so --login --pin 1234 --label "mytoken" --encrypt --input-file plaintext.txt --output-file ciphertext.bin
1) 导出公钥,使用公钥加密
sudo pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so --login --pin 1234 --label "mytoken" --type pubkey --read-object --output-file public_key.der
openssl rsa -inform DER -in public_key.der -pubin -outform PEM -out public_key.pem
echo -n "Your plaintext message ! " | openssl pkeyutl -engine pkcs11 -encrypt -pubin -inkey public_key.pem -out ciphertext.bin
  1. 解密数据(Decrypt Data)
bash 复制代码
sudo pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so --login --pin 1234 --id 01 --label "mytoken" --decrypt --mechanism RSA-PKCS --input-file ciphertext.bin --output-file decrypted.txt

11.验证

bash 复制代码
echo -n "Your plaintext message !  " | openssl pkeyutl -engine pkcs11 -encrypt -pubin -inkey public_key.pem -out ciphertext.bin
sudo pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so --login --pin 1234 --decrypt --id 1 --mechanism RSA-PKCS --input-file ciphertext.bin
sudo pkcs11-tool --module /usr/lib/softhsm/libsofthsm2.so --login --pin 1234 --decrypt --label "mytoken" --mechanism RSA-PKCS --input-file ciphertext.bin
相关推荐
vortex512 分钟前
Shell脚本技巧:去除文件中字符串两端空白
linux·bash·shell·sed·awk
world-wide-wait37 分钟前
python高级04——网络编程
linux·服务器·网络
迎風吹頭髮42 分钟前
Linux内核架构浅谈26-Linux实时进程调度:优先级反转与解决方案
linux·服务器·架构
Java 码农1 小时前
CentOS 7上安装SonarQube10
linux·centos
特种加菲猫1 小时前
网络协议分层:解密TCP/IP五层模型
linux·网络·笔记
平平无奇。。。1 小时前
版本控制器之Git理论与实战
linux·git·gitee·github
宇宙第一小趴菜1 小时前
11 安装回忆相册
linux·运维·centos7·yum·回忆相册·kh_mod
艾莉丝努力练剑1 小时前
【Linux指令 (二)】不止于入门:探索Linux系统核心与指令的深层逻辑,理解Linux系统理论核心概念与基础指令
linux·服务器·数据结构·c++·centos
conkl1 小时前
Linux IP 网络配置与管理详解
linux·网络·tcp/ip
ZhiqianXia2 小时前
Linux 内核中控制调试输出的频率和次数
linux