FIPS 140-2準拠モードでのSafenetiKey 4000 RSAキーペアの生成
RSA鍵ペアを生成し、公開鍵と秘密鍵を画面(安全な部屋)に表示する必要があります。アルゴリズムはFIPS承認されている必要があります。
したがって、FIPS 140-2レベル3準拠のiKey4000を使用したいと思います(トークンを操作するためにSafenetのPKCS#11ライブラリを使用しています)。トークン(つまり、CKA_TOKEN属性をTrueに設定して使用することを意味します)秘密鍵の指数を表示できません。CKA_TOKEN属性をFalseに設定すると、キーペアに関するすべての情報を表示できます。
しかし、問題は、トークン外のキーペアの生成方法がまだFIPS準拠ですか?トークンでキーペアを生成するよりも高速であるため、トークン自体ではなく、一部によって生成されると思いますか? Safenetライブラリのソフトウェア部分。
それでもFIPS準拠ですか?
CKA_TOKENをKeyPairとして設定してtrueを生成することとfalseを生成することの違いは、trueに設定すると、KeyPairがハードウェアトークンによって生成されたものは永続化されます(セッションからログアウトした後でもトークンに存在します)。 falseに設定されている場合でも、トークンの外部ではなくハードウェアで生成され、永続化されません(アクティブなセッション中にのみ存在し、ログアウトすると消えます)。