我们正在从 Thales 8000 迁移到 Thales Payshield 9000 。我们在8000中生成了RSA密钥对(带EI - 生成公钥/私钥对命令)。我们将公钥存储在主机上,并将私钥加载到HSM的防篡改内存中(使用EK - 加载私钥命令)。
问题是我们没有保留私钥,我们不想创建新密钥对,因为如果我们这样做,我们必须与供应商开始一个新的认证过程。是否存在将此密钥存储在智能卡上并转移到LMK等新版本的解决方案。
我阅读了Thales控制台 - 命令参考和程序员手册,但无法找到解决方案。
答案 0 :(得分:5)
从Thales HSM密钥对生成命令返回的私钥(这是我有权访问的Payshield 9000上的命令EI)在LMK密钥对34-35下加密。你永远不会以明确的,即未加密的形式看到这一点。
如果您知道LMK密钥对,那么从HSM中提取此信息的唯一方法就是;然后你可以用它来解密它。这通常可以在测试环境中进行,其中有时使用一组已知的测试LMK密钥对。 但是,在生产环境中,这样做显然会损害整个HSM以及依赖它的任何系统的安全性。
在您的情况下,除了生成新的密钥对然后存储加密的私钥字节之外,您别无选择。
但问题是,只有在此LMK密钥对下加密私钥才需要使用HSM签署CSR,而不是像openssl那样建立的工具。
我通过使用EI命令(生成RSA密钥对)来生成密钥对,存储文件中返回的原始加密私钥字节,构造未签名的CSR结构,并使用私钥字节将其发送到HSM。在命令EW(生成签名)下,然后将签名附加到我的CSR结构。
答案 1 :(得分:0)
如果你没有保存EI命令的输出(密钥块),那么从那里获得该密钥的可能性实际上是不存在的。遗憾!
答案 2 :(得分:0)
是的,只有在两种情况下,您才能将RSA私钥从payshield 9000 HSM导出到另一个payshield 9000 HSM:
第一个条件:购买某些许可证HSM9-LIC016并使用主机命令 L8 ,该命令用于在ZMK下导出RSA私钥。请参阅 “ 1270A548-037卡和移动发行LIC011,016”手册以查看主机命令L8的详细步骤 第二个条件:您应该以安全的方式记录私钥,首先通过 EI 主机命令生成私钥,该私钥是在旧的LMK下加密生成的,因此可以安全地记录下来以备将来使用就像您现在面临的严峻形势一样。
主机命令 L8 功能支持将RSA私钥从LMK下的加密导出到区域主密钥下的加密。
必须通过控制台命令 CS 配置以下安全设置,以允许使用此命令:
1-“是否启用RSA私钥的导入/导出?”必须设置为“是”(默认为否)。
2-'密钥是否仅以受信任的格式导出和导入?必须设置为“否”(默认为“是”)
在另一个HSM2上:
使用主机命令 L6
导入RSA私钥不过,如果您愿意,我可以向您发送更详细的步骤。
请参阅手册: 1270A548-037卡和移动发行LIC011,016,018,023 v3.4发行日期:2018年10月