AWS cloudhsm C_FindObjectsInit CKR_ATTRIBUTE_TYPE_INVALID
[英]aws cloudhsm C_FindObjectsInit CKR_ATTRIBUTE_TYPE_INVALID
問題描述
使用iaik.pkcs.pkcs11包裝器在ubuntu上與cloudhsm通信。
當嘗試檢索類RSAPublicKey所有公共密鑰時,出現此異常:
iaik.pkcs.pkcs11.wrapper.PKCS11Exception: CKR_ATTRIBUTE_TYPE_INVALID
at iaik.pkcs.pkcs11.wrapper.PKCS11Implementation.C_FindObjectsInit(Native Method)
at iaik.pkcs.pkcs11.Session.findObjectsInit(Session.java:642)
使用日志記錄pkcs11包裝器,我設法找到了:
0x00002b8c : 0x438b4700 : Calling C_FindObjectsInit
0x00002b8c : 0x438b4700 : Input
0x00002b8c : 0x438b4700 : hSession: 10240
0x00002b8c : 0x438b4700 : pTemplate: 0x7f2a58031f60
0x00002b8c : 0x438b4700 : ulCount: 4
0x00002b8c : 0x438b4700 : *** Begin attribute template ***
0x00002b8c : 0x438b4700 : Attribute 0
0x00002b8c : 0x438b4700 : Attribute: 256 (CKA_KEY_TYPE)
0x00002b8c : 0x438b4700 : pValue: 0x7f2a58011c10
0x00002b8c : 0x438b4700 : ulValueLen: 8
0x00002b8c : 0x438b4700 : *pValue: HEX(0000000000000000)
0x00002b8c : 0x438b4700 : Attribute 1
0x00002b8c : 0x438b4700 : Attribute: 1073743360 (CKA_ALLOWED_MECHANISMS)
0x00002b8c : 0x438b4700 : pValue: 0x7f2a58031ed0
0x00002b8c : 0x438b4700 : ulValueLen: 32
0x00002b8c : 0x438b4700 : *pValue: HEX(4300000000000000440000000000000045000000000000000D00000000000000)
0x00002b8c : 0x438b4700 : Attribute 2
0x00002b8c : 0x438b4700 : Attribute: 264 (CKA_SIGN)
0x00002b8c : 0x438b4700 : pValue: 0x7f2a5802f450
0x00002b8c : 0x438b4700 : ulValueLen: 1
0x00002b8c : 0x438b4700 : *pValue: HEX(01)
0x00002b8c : 0x438b4700 : Attribute 3
0x00002b8c : 0x438b4700 : Attribute: 0 (CKA_CLASS)
0x00002b8c : 0x438b4700 : pValue: 0x7f2a5802f470
0x00002b8c : 0x438b4700 : ulValueLen: 8
0x00002b8c : 0x438b4700 : *pValue: HEX(0300000000000000)
0x00002b8c : 0x438b4700 : *** End attribute template ***
0x00002b8c : 0x438b4700 : Returning 18 (CKR_ATTRIBUTE_TYPE_INVALID)
但無法理解問題所在。 cloudhsm也應適當允許所有機制。
2 個解決方案
解決方案1
2 2018-12-19 22:55:20
如果我正確閱讀了pkcs11-logger的輸出,那么這是您的搜索模板:
CKA_CLASS = CKO_PRIVATE_KEY
CKA_KEY_TYPE = CKK_RSA
CKA_SIGN = CK_TRUE
CKA_ALLOWED_MECHANISMS = { CKM_SHA256_RSA_PKCS_PSS, CKM_SHA384_RSA_PKCS_PSS, CKM_SHA512_RSA_PKCS_PSS, CKM_RSA_PKCS_PSS }
對我來說似乎完全沒問題。
不幸的是,PKCS#11 API沒有提供詳細信息,所提供模板的確切屬性導致CKR_ATTRIBUTE_TYPE_INVALID錯誤,但是許多PKCS#11庫支持某種內部日志記錄機制,這可能揭示錯誤的真正原因。 PKCS#11庫供應商提供的文檔中應提供啟用日志記錄所需的確切步驟。
解決方案2
1 已采納 2019-01-29 12:00:56
來自AWS支持有關此問題:cloudhsm不接受C_FindObjectsInit調用的任何允許的機制屬性。
sun.security.pkcs11.wrapper.PKCS11Exception:CKR_ATTRIBUTE_TYPE_INVALID
[英]sun.security.pkcs11.wrapper.PKCS11Exception: CKR_ATTRIBUTE_TYPE_INVALID
使用 LunaProvider 在 HSM 中進行並發簽名會拋出 CKR_DATA_INVALID
[英]Concurrency signing in HSM with LunaProvider throw CKR_DATA_INVALID
引起:sun.security.pkcs11.wrapper.PKCS11Exception:CKR_DATA_INVALID
[英]Caused by: sun.security.pkcs11.wrapper.PKCS11Exception: CKR_DATA_INVALID
CKR_KEY_TYPE_INCONSISTENT:在 FIPS 模式下使用 SunPKCS11 和 NSS 派生簽名密鑰時
[英]CKR_KEY_TYPE_INCONSISTENT: when deriving signing key in FIPS mode using SunPKCS11 with NSS
sun.security.pkcs11.wrapper.PKCS11Exception:CKR_WRAPPED_KEY_INVALID
[英]sun.security.pkcs11.wrapper.PKCS11Exception: CKR_WRAPPED_KEY_INVALID
從 jdk10 遷移到 jdk11:SSLConnection:CKR_KEY_TYPE_INCONSISTENT
[英]migrating from jdk10 to jdk11 : SSLConnection : CKR_KEY_TYPE_INCONSISTENT
無效的.dtd文件:[致命錯誤]:32:43:在元素“ meterdocument”的屬性“ pagenumber”的聲明中,屬性類型是必需的
[英]Invalid .dtd file: [Fatal Error] :32:43: The attribute type is required in the declaration of attribute “pagenumber” for element “meterdocument”
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
PKCS11Exception ckr_attribute_type_invalid
sun.security.pkcs11.wrapper.PKCS11Exception:CKR_ATTRIBUTE_TYPE_INVALID
來自 PKCS11 類異常的 C_FindObjectsInit(..)
Sunpkcs11 提供程序是否與 AWS CloudHSM 兼容?
使用 LunaProvider 在 HSM 中進行並發簽名會拋出 CKR_DATA_INVALID
引起:sun.security.pkcs11.wrapper.PKCS11Exception:CKR_DATA_INVALID
CKR_KEY_TYPE_INCONSISTENT:在 FIPS 模式下使用 SunPKCS11 和 NSS 派生簽名密鑰時
sun.security.pkcs11.wrapper.PKCS11Exception:CKR_WRAPPED_KEY_INVALID
從 jdk10 遷移到 jdk11:SSLConnection:CKR_KEY_TYPE_INCONSISTENT
無效的.dtd文件:[致命錯誤]:32:43:在元素“ meterdocument”的屬性“ pagenumber”的聲明中,屬性類型是必需的
相關標簽