SafeNet USB HSM生成RSA/DSA/ECDSA密钥对

原创 已于 2025-07-19 09:50:46 修改 · 1k 阅读 · 28 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #网络 #安全 #信息与通信

于 2025-07-19 09:45:26 首次发布

cmu generatekeypair

此指令在令牌或 HSM 上生成非对称密钥对。可选输入文件名可用于指定要从中读取强制属性和可选属性的文件。

对于 DSA 密钥生成,参数(Prime、Subprime 和 Base)是必需的,并且必须作为命令的一部分或作为交互式提示的响应提供。如果在命令行中提供了其中一个参数,则必须以该方式提供所有三个参数。如果在命令行中未提供任何参数,则系统会提示所有三个参数进行交互式输入。

命令行中不能只提供一个或两个参数。仅提供一个或两个域参数将被视为错误,命令将暂停并显示错误消息。

句法

cmu generatekeypair <参数>

必需参数

范围描述
-modulusBits

此参数必需定义用于生成 RSA 密钥对的模数值的长度(以位为单位)。该参数必须设置

为 1024 到 4096 之间的值,且该值必须是 64 位的倍数。
如果 HSM 策略 12“Allow non-FIPS algorithms”设置为“否”,则 RSA 密钥大小限制

为 2048 位或 3072 位。

-publicExponent

 此参数必需定义用于生成 RSA 密钥对的公共指数值。它必须设置为 3、17 或 65537。

可选参数

范围描述
-binary

这是一个可选参数,它将导出的证书格式定义为原始二进制,而不是默认的 PEM(base64)

编码。

-inputFile 此可选参数定义一个文件的名称,从中获取附加参数设置,每行一个,格式为 name=value。
-keyType

 此可选参数定义要生成的非对称密钥的类型。如果密钥类型可以通过其他参数确定,则此参

数不是必需的。(例如,如果存在 modulusBits 和/或 publicExponent 参数,

则 -keyType=RSA 是多余的)。目前仅支持 RSA 密钥对。

-label

 此可选参数定义要应用于两个新生成的键的标签。如果需要多字标签,则必须将标签值括

在引号中。

-labelPublic

 此可选参数定义了要应用于新生成的密钥对的公钥的标签。

-labelPrivate

 此可选参数定义了要应用于新生成的密钥对的私钥的标签。

-modifiable

 此可选参数定义密钥对中每个密钥的可修改设置。它必须设置为 True 或 False(或 1 或 0)。

-id

 此可选参数定义新生成的密钥的 Id 字段。它必须设置为大端十六进制整数值。

-startDate

 此可选参数定义新生成的密钥的 startDate 字段。该值的格式为 YYYYMMDD。

-endDate

 此可选参数定义新生成的密钥的 endDate 字段。该值的格式为 YYYYMMDD。

-subject

 此可选参数定义新生成的密钥的主题字段。它必须设置为大端十六进制整数值。主题字段

通常设置为密钥的主题可分辨名称的 DER 编码。

-encrypt

 此可选参数定义新生成的密钥对中公钥的加密设置。它必须设置为 True 或 False(或 1 或 0),False 为默认值。如果此参数设置为 True,则私钥的解密设置也应设置为 True。请注意,HSM 通常配置为一个

密钥不能具有多种功能。因此,如果将加密设置为 True,则包装和验证需要设置为 False。

-decrypt

 此可选参数定义新生成的密钥对中私钥的解密设置。它必须设置为 True 或 False(或 1 或 0),False 为默认值。如果此参数设置为 True,则公钥的加密设置也应设置为 True。请注意,HSM 通常配置为一个

密钥不能具有多个功能。因此,如果将解密设置为 True,则解包和签名需要设置为 False。

-sign

 此可选参数定义新生成的密钥对中私钥的签名设置。它必须设置为 True 或 False(或 1 或 0),False 为默认值。如果此参数设置为 True,则公钥的验证设置也应设置为 True。请注意,HSM 通常配置为一个

密钥不能具有多个功能。因此,如果签名设置为 True,则解包和解密需要设置为 False。

-verify

 此可选参数定义新生成的密钥对中公钥的验证设置。它必须设置为 True 或 False(或 1 或 0),False 为默认值。如果此参数设置为 True,则私钥的签名设置也应设置为 True。请注意,HSM 通常配置为一个

密钥不能具有多个功能。因此,如果将 verify 设置为 True,则 encrypt 和 wrap 必须设置为 False。

-wrap

 此可选参数定义新生成的密钥对中公钥的包装设置。它必须设置为 True 或 False(或 1 或 0),False 为默认值。如果此参数设置为 True,则私钥的解包设置也应设置为 True。请注意,HSM 通常配置为一个

密钥不能具有多个功能。因此,如果将包装设置为 True,则加密和验证需要设置为 False。

-unwrap

 此可选参数定义新生成的密钥对中私钥的解包设置。它必须设置为 True 或 False(或 1 或 0),False 为默认值。如果此参数设置为 True,则公钥的解包设置也应设置为 True。请注意,HSM 通常配置为一个

密钥不能具有多个功能。因此,如果将解包设置为 True,则解密和签名需要设置为 False。

-extractable

此可选参数定义新生成的密钥对中私钥的可提取设置。它必须设置为

True 或 False(或 1 或 0),其中 False 为默认值。

-curvetype

此可选参数定义 ECDSA 密钥的曲线类型名称。请输入 1-5 的值

(1-NISTP 192 / 2-NISTP 224 / 3-NISTP 256 / 4-NISTP 384 / 5-NISTP 521)。

-prime

此可选参数定义 DSA 密钥生成的主要长度。

-subprime

此可选参数定义 DSA 密钥生成的次质位长度。

-base

此可选参数定义 DSA 密钥生成的基本长度。

例子

RSA
C:\Program Files\SafeNet\LunaClient>cmu gen -modulusBits=2048 -publicExp=65537 -sign=T -verify=T 
Select token
[1] Token Label: myPartition1
[2] Token Label: myPartition1
Enter choice: 2
Please enter password for token in slot 2 : *******************
C:\Program Files\SafeNet\LunaClient>cmu list
Select token
[1] Token Label: myPartition1
[2] Token Label: myPartition1
Enter choice: 2
Please enter password for token in slot 2 : *******************
handle=14       label=NewPublicVerifyingKey
handle=15       label=NewPrivateSigningKey
C:\Program Files\SafeNet\LunaClient>
DSA - 相关参数在命令行中
cmu generatekeypair -keytype DSA -slot 6 
  -prime 0xfcec6182eb2<...too long to reproduce...>fe00d0204c3 
   -subprime 0xd3807350xd3807<...long string...>cedc61 
    -base 0x42e37<...too long to reproduce...>22c3b1205e
DSA——相关参数在交互中输入
cmu generatekeypair -keytype DSA -slot 6 
The prime, subprime and base values must be entered as a HEX byte array. 
For example, to enter a 1024-bit prime value, enter a 128-byte HEX byte array using 
this format: 0xa0383ee692f8... 
 The prime value can be a 1024-bit, 2048-bit or 3072-bit value. 
Enter a prime value: 0xfcec6182eb2<...too long to reproduce...>fe00d0204c3 
Enter a 160 bit subprime value: 0xd3807<...long string...>cedc61 
Enter a 1024-bit base value: 0x42e37<...too long to reproduce...>22c3b1205e

总结

cmu generatekeypair指令用于在令牌或HSM上生成非对称密钥对,支持RSA和DSA类型。对于RSA密钥,必须提供modulusBits(1024-4096位,64位倍数)和publicExponent(3/17/65537)参数;DSA密钥需完整提供Prime、Subprime和Base参数,否则会报错。可选参数包括密钥标签、功能设置(加密/签名等)、有效期及输入文件等。示例展示了生成2048位RSA密钥对(带签名/验证功能)及DSA密钥参数交互输入的过程。注意HSM策略可能限制密钥功能互斥(如加密与验证不可共存)。

解决证书读取私匙 cert.PrivateKey 提示错误 指定了无效的提供程序类型
xutianruo的博客
03-12 2820
try { X509Certificate2 cert = new X509Certificate2("ServiceLicense.pfx", "password",X509KeyStorageFlags.Exportable | X509KeyStorageFlags.PersistKeySet); Console.WriteLine(cert.HasPrivateKey.ToString()); Console.WriteLine(cert.PrivateKey.KeySiz.
工行icbc-sdk支付需要的jar包
qq_47109099的博客
07-29 2212
工行icbc-sdk支付需要的jar包
Java 实现DSA数字签名
某人的博客
11-23 1158
DSA数字签名Java实现 import java.security.*; import java.security.interfaces.DSAPrivateKey; import java.security.interfaces.DSAPublicKey; import java.security.spec.PKCS8EncodedKeySpec; import java.security.spec.X509EncodedKeySpec; public class DSAUtils { pri
对应的加密狗检测不到,检测不到怎么解决?
qq_39834732的博客
04-23 7384
Safenet加密狗,直接插入电脑的USB接口,打开软件即可使用。3、加密狗,然后重装软件狗,再插入软件。如果您先插入加密狗驱动程序,请下载新的加密狗。加密狗,有错误(有加密狗检测不到加密狗。一个软件,然后插入软件,原因很简单,不需要注册。打开软件,你可以得到一个分离器,并将其插入电脑。其他电脑上没有反应,然后打开软件是正常的,会直接导致检测不到软件。仍然没有检测到的原因可能是加密狗插入很简单,如果先插入加密锁的识别设置。1,USB口,可以试试。安装软件,重装软件杀毒,监控安全软件不稳定,然后插入。
ssh-keygen(linux 命令) 创建 private key(私钥) , public key (公钥),实现ssh,scp,sftp命令无密码连接
热门推荐
sun0322
08-15 4万+
通过,使用公钥 和私钥 , ServerA 无密码 访问 ServerB 。 原理说明: 可以把密钥 理解成一把钥匙, 公钥 理解成这把钥匙对应的锁头, 把锁头(公钥)放到想要控制的serverB上, 锁住serverB, 只有拥有钥匙(密钥)的人, 才能打开锁头, 进入serverB并控制,.................................
关于win10系统存在无法正常识别MasterCamX8的加密狗驱动的问题的解决方法
qq_22835057的博客
05-31 2865
win10在一次版本更新中更新了一个“SafeNet Inc. Other hardware-SafeNet Inc.USB Key”系统补丁,之后就导致了MasterCam加密狗无法识别的问题
SafeNet 网络 HSM 设备管理指南
05-04
SafeNet Network HSM(Hardware Security Module)设备是一款专为网络环境设计的安全硬件模块,主要用于保护敏感数据、加密密钥管理和执行关键的加密操作。本指南主要介绍了如何管理SafeNet Network HSM设备的各项...
SafeNet Network HSM LunaSH 命令参考指南
05-04
### SafeNet Network HSM LunaSH 命令参考指南知识点概览 #### 一、产品概述 SafeNet Network HSM(Hardware Security Module)LunaSH是一款高性能、高安全性的硬件安全模块,主要用于保护网络环境中的关键数据和...
safenet superpro数据读写工具 ,核心关键词:safenet; superpro; 数据读写工具;,SuperPro数据读写工具:安全网下的高效数据管理
最新发布
03-15
Safenet SuperPro数据读写工具是一种专门针对数据管理设计的高效解决方案。在当今的数据密集型社会中,数据的安全性和处理效率成为了企业和组织最为关注的问题之一。Safenet SuperPro正是在这样的背景下应运而生,它...
safenet HSM product
06-01
SafeNet Luna Network HSM产品是一款安全硬件模块,它通过存储、保护和管理加密密钥来确保敏感数据和关键应用的安全。该产品属于高保障、抗篡改、网络附加设备类别,提供市场上领先的性能。SafeNet Luna Network HSM...
safenet USB加密狗驱动安装使用指南
标题中提到的“safenetUSB加密狗驱动”是指为Safenet公司生产的USB加密狗设备配套使用的驱动程序。Safenet是一家知名的网络安全公司,专注于为软件厂商提供内容保护、身份认证以及数据加密等解决方案。USB加密狗是...
KeyParameter:关键参数
02-23
KeyParameter:关键参数
SafeNet Inc. USB Key
01-29
SafeNet Inc. USB Key
PKCS#11数据加密国际标准解读-对象
安当加密
12-13 952
PKCS#11标准解读-对象,此为第三篇,介绍对象和属性。 PKCS#11是使用非常普遍的密码设备接口,在实际应用中,国密的密码设备应用接口规范GMT0018之作用相同,在技术体系架构中处于类似的位置。 在密码产品的开发中,按照PKCS#11或者GMT0018接口规范提供相应的接口封装,应用程序无需改动或者微小改动就可以更换底层密码设备。 PKCS#11的标准内容比较多,v2-20版本有400页,相应的,PKCS#11的标准解读,将按照概念及常用接口、角色、会话、对象、机制分别进行,最后介绍应用的调
银行卡网络安全系统的三级密钥体系
Crystal_oscillator的专栏
08-08 2万+
银行卡网络安全系统采用了三级密钥管理体制,从上而下依次是主密钥、密钥交换密钥、数据密钥。上级密钥用于加密下级密钥,具体如下:     1. 主密钥用于加密密钥交换密钥和数据密钥作本地存储;     2. 密钥交换密钥用于加密数据密钥作网络传输;     3. 数据密钥用于对数据进行加解密。     三级密钥体制示意图:        三级密钥体制        三级密钥
HSM加密机 (分级密钥管理)
jason_cuijiahui的博客
05-08 1万+
参考自 三级密钥体制示意图 主密钥用于加密密钥交换密钥和数据密钥作本地存储; 密钥交换密钥用于加密数据密钥作网络传输; 数据密钥用于对数据进行加解密。 三级密钥体制说明 1. 第一层,LMK为本地主密钥,,它是存放在HSM机内的,它的作用是对所有在本地存放的其它密钥和加密数据进行加密,不同对的LMK用于加密不同的数据或密钥。由于本地存放的其它密钥和加密数据,都是在LMK...
解决报错:Can't read private key./build-aux/cksum-schema-check: Permission denied
个人博客
02-28 5942
下午在编译和安装Linux内核模块时报错: cd datapath/linux &amp;amp;amp;amp;&amp;amp;amp;amp; make modules_install make[1]: Entering directory `/home/mininet/openvswitch-2.10.1/datapath/linux' make -C /lib/modules/4.2.0-27-generic/build M=/hom...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值