キーストレージと使用に対するmod_nssとopensslの動作

たぶん私は正しい検索用語を求めているだけです。

mod_nssおよびNSS情報/設計のアイデアは、キーストレージデバイス（この場合はHSM）がDH/SSLハンドシェイクを実行できる場合、そのデバイスが使用されるというものです（キーはHSMから抽出されず、次に、ハンドシェイクのためにホストで使用されますが、HSMに残され、HSMがハンドシェイクの実行に使用されます）。考え方は、HSMを使用する必要があるほど偏執的（または規制）である場合、キーが危険にさらされるため、キーをホストに抽出したくないということです。

HSM管理ハンドシェイクが遅すぎる

問題は、ハンドシェイクの持続時間です。 PCIeの直接接続されたHSMがなくても、単一のTLSハンドシェイクに必要な時間の長さは測定可能です。ハンドシェイクに突然HSMを使用しようとすると、PCIeのボトルネックとそれに伴うすべてのオーバーヘッドによって制限されます。HSMは通常、高性能ではなくセキュリティのために構築されています。

HSMは、「十分な」接続/秒をサポートするサービスのボトルネックになります。「十分な」とは、「HSMを圧倒するのに十分」と定義されます。

HSMのセキュリティとホストベースのTLSハンドシェイクのパフォーマンス（複数のコアなどの恩恵を受けることができる）の間でトレードオフするには、HSMにキーを保存する必要がありますが、ホストでキーを使用します。

NSSの世界観はこれを防ぎます。

質問：秘密鍵を抽出できますか？

HSMに接続できるOpenSSLまたはその他の暗号スイートは、HSMからキーを抽出し、ホストで使用するためにキャッシュできますか？

次の手段

プランBは、（OpenSSL）OpenSC + OpenP11エン​​ジンまたはNSSソースコードを取得し、それをハックして最初の要求で秘密鍵を抽出してキャッシュし、opensslにコールバックして、実際のTLSハンドシェイクを実行することです。新しい接続ごとにHSMに接続し、保存されたキーのセキュリティを提供しながら、httpsおよびssh接続の現在の（作業中の）環境を利用できるようにします。しかし、私はむしろ既存のコードを利用したいと思います。

検索エンジンは私を同じページに連れて行ってくれます。関連するものもあれば（たとえばNSSの設計哲学）、そうでないものもあります。あなたが知っているページに私を連れて行く良い検索用語のセットを知っているなら:)それは最も助けになるでしょう。

お時間をいただきありがとうございます。