Tongsuo-Project / Tongsuo

铜锁/Tongsuo is a Modern Cryptographic Primitives and Protocols Library
https://www.tongsuo.net
Apache License 2.0
1.16k stars 186 forks source link

BaBaSSL和Usbkey之间证书认证 #242

Open BigBlade opened 2 years ago

BigBlade commented 2 years ago

需求背景: 因为我们的私钥文件是存在UsbKey里面的,但是UsbKey不能读出介质之外,所以想知道BaBaSSL的引擎能不能达到证书认证的过程,如果可以的话,有没有相关参考文章,谢谢@InfoHunter

Dave379776966 commented 2 years ago

需求背景: 因为我们的私钥文件是存在UsbKey里面的,但是UsbKey不能读出介质之外,所以想知道BaBaSSL的引擎能不能达到证书认证的过程,如果可以的话,有没有相关参考文章,谢谢@InfoHunter

@InfoHunter @dongbeiouba 两位大佬能回复一下么

dongbeiouba commented 2 years ago

需求背景: 因为我们的私钥文件是存在UsbKey里面的,但是UsbKey不能读出介质之外,所以想知道BaBaSSL的引擎能不能达到证书认证的过程,如果可以的话,有没有相关参考文章,谢谢@InfoHunter

@InfoHunter @dongbeiouba 两位大佬能回复一下么

基于Engine的方式,BabaSSL + 密码卡(包括支持国密算法和国际算法的加速/加密卡),是可以工作的;私钥存储于密码卡内,进行身份认证也是OK的。

我当前还没有测试过UsbKey + BabaSSL,建议可以使用BabaSSL + UsbKey联调测试一下,有问题可以提交Issue。

Dave379776966 commented 2 years ago

基于Engine的方式,BabaSSL + 密码卡(包括支持国密算法和国际算法的加速/加密卡),是可以工作的;私钥存储于密码卡内,进行身份认证也是OK的。

但是我们和国密相关人员已经沟通了,他们说即使私钥加密后放在加密卡是也是不能通过商密认证的。

InfoHunter commented 2 years ago

但是我们和国密相关人员已经沟通了,他们说即使私钥加密后放在加密卡是也是不能通过商密认证的。

这个太笼统了,目前从BabaSSL角度没法给更好的建议

Dave379776966 commented 2 years ago

基于Engine的方式,BabaSSL + 密码卡(包括支持国密算法和国际算法的加速/加密卡),是可以工作的;私钥存储于密码卡内,进行身份认证也是OK的。

@dongbeiouba 这个方案咱们有相关的操作手册吗,如果有发个链接

dongbeiouba commented 2 years ago

@dongbeiouba 这个方案咱们有相关的操作手册吗,如果有发个链接

API主要涉及Engine相关接口,可以直接参考OpenSSL官方文档: https://www.openssl.org/docs/man1.1.1/man3/ENGINE_register_all_ciphers.html 或者https://babassl.readthedocs.io/zh/latest/API/manpages/man3/ENGINE_add.html

实际应用示例可以参考一下OpenSSL + QAT,https://github.com/intel/QAT_Engine

Dave379776966 commented 2 years ago

但是我们和国密相关人员已经沟通了,他们说即使私钥加密后放在加密卡是也是不能通过商密认证的。

这个太笼统了,目前从BabaSSL角度没法给更好的建议

对于私钥这种需要极高安全存储的话,咱们都是怎么存储的,如何才能达到过检的要求呢? @InfoHunter

InfoHunter commented 2 years ago

具体检测的要求,和送检产品的类型有关系,例如密码模块的话,有1-4级,不同的等级对私钥这种敏感安全参数的安全性也有不同要求,可以参考下GM/T 0028。如果是非密码模块类型的产品,那就按照相关的标准执行即可

Dave379776966 commented 2 years ago

我们是否有计划支持SKF引擎的接口?

InfoHunter commented 2 years ago

有,计划下个大版本8.4.0支持

Dave379776966 commented 2 years ago

有,计划下个大版本8.4.0支持

大概得多长时间? 能先出来一个小版本吗?

InfoHunter commented 2 years ago

小版本没有计划,但是等我们搞完了,可以直接用master的代码,目前看7月份之后吧

InfoHunter commented 2 years ago

可以关注下这个issue的进展:https://github.com/BabaSSL/BabaSSL/issues/76

boyxuper commented 6 months ago

有,计划下个大版本8.4.0支持

8.4.0 已在2023年12月发布了,麻烦问下SKF或SDF的进展如何?

InfoHunter commented 6 months ago

由于不可抗力,继续推迟