[Ejbca-develop] Smartcard-HSM und Schlüsselimport

SourceForge Headquarters 1320 Columbia Street Suite 310 San Diego, CA 92101 +1 (858) 422-6466

Hallo Andreas,

vielen Dank für Deinen Hinweis. Ich habe durchaus auch mit Eurem USB-Token
getestet.

Aber aus Sicherheitsgründen bietet Euer Smartcard-HSM ja keinen Import mit
pkcs15-init. Obwohl mir Euer Backup-/Restore-Verfahren durchaus zusagt, bin
ich trotzdem bei langlebigen Schlüsseln sehr besorgt wg. des proprietären
Verfahrens und der sich darus ergebenden Abhängigkeit.
Daher kommt das Smartcard-HSM da nicht in Frage.

Ich glaube auch nicht, dass die EJBCA bald mit einem geschmeidigen JCE-Support
daherkommt. Nun ja, vielleicht schaffst Du es ja.

Und beim OpenSC-PKCS#11-Modul bin ich heute auch mit dem Aventra-EID auf einen
seg-fault gelaufen... :-(
Ja, ich weiss. Für den seg-fault im sc-hsm-Modul gibt's einen Patch. Und daher
benutze ich OpenSC aus dem git-repo...

Ciao, Michael.

Andreas Schwier wrote:
>>> But I wonder why EJBCA does not reconnect to the Smartcard-HSM once it was
>>> unavailable. I have to restart JBOSS to access the token via PKCS#11 module
>>> again.
>>>
>>> Ciao, Michael.
>>>
>>> [1]
>>> http://www.smartcard-hsm.com/2014/09/05/Accessing_your_SmartCard-HSM_from_EJBCA.html
>>>
>>
>> It's a more low-level issue with how the PKCS#11 security provider is
>> implemented in Java.
>>
>> Basically, you have no way to tell the PKCS#11 Java security provider
>> to reestablish a new session. There's also a bunch of cashing happening
>> there, so if you create keys etc outside of EJBCA's running JVM, you
>> won't see them in EJBCA.
>>
>> Fixing this would require quite a bit more effort, unfortunately
>> (implementing a custom Java security provider, and maintaining it).
> 
> We have a JCE Provider for the SmartCard-HSM. Unfortunately I'm no
> expert on the EJBCA source code and can't tell how it could be integrated.
> 
> But if someone wants to give it a try, let me know.
> 
> Andreas

--
Michael Ströder                 Klauprechtstr. 11
Dipl.-Inform.                   D-76137 Karlsruhe, Germany
Tel.: +49 721 8304316
E-Mail: mi...@st...    http://www.stroeder.com