Sun.security.pkcs11 no se puede resolver a un tipo
Para interactuar con una tarjeta inteligente o un dispositivo token con fines de autenticación o firma el PKCS#11 es uno de los estándares para hacerlo. Java proporciona el SunPKCS11 Provider, que es una especie de wrapper que podemos utilizar para interactuar con librerías nativas que se encargan de la comunicación con este tipo de dispositivos. Básicamente instalamos una librería (archivos dll, so, o dylib) en el sistema operativo, que suele ser proporcionada por el proveedor del dispositivo, y a través del proveedor SunPKCS11 indicamos el archivo de librería, el proveedor PKCS11 se encarga de interactuar con el dispositivo por nosotros.
Por lo tanto, Java tiene un soporte out of the box para interactuar con esos dispositivos. Sin embargo, en Java 9 se incluyeron algunos cambios sobre cómo podemos inicializar el SunPKCS11Provider y esos cambios ya no son compatibles con las versiones anteriores de Java.
Básicamente, dado un fichero /opt/bar/cfg/pkcs11.cfg con las configuraciones de ese proveedor (fichero de librería, nombre, etc). Pudimos inicializar y configurar el SunPKCS11 en una sola línea, usando el constructor. Finalmente el nuevo proveedor es añadido al contexto de Seguridad.
Pkcs11 tutorial
El Estándar de Interfaz de Token Criptográfico PKCS#11, también conocido como Cryptoki, es uno de los Estándares de Criptografía de Clave Pública desarrollado por RSA Security. PKCS#11 define la interfaz entre una aplicación y un dispositivo criptográfico. Este capítulo ofrece un resumen general de PKCS#11 y algunos de sus conceptos básicos. Si no está familiarizado con PKCS#11, se recomienda encarecidamente al lector que consulte PKCS #11: Cryptographic Token Interface Standard.
PKCS#11 se utiliza como interfaz de bajo nivel para realizar operaciones criptográficas sin necesidad de que la aplicación interactúe directamente con un dispositivo a través de su controlador. PKCS#11 representa dispositivos criptográficos utilizando un modelo común denominado simplemente token. Por lo tanto, una aplicación puede realizar operaciones criptográficas en cualquier dispositivo o token, utilizando el mismo conjunto de comandos independientes.
SafeNet ProtectToolkit-C es un proveedor de servicios criptográficos que utiliza el estándar de interfaz de programación de aplicaciones (API) PKCS #11, especificado por RSA Labs. Incluye una API Java ligera y patentada para acceder a estas funciones PKCS #11 desde Java.
Java.security.keystoreexception: pkcs11 no encontrado
Ya existe una etiqueta con el nombre de rama proporcionado. Muchos comandos de Git aceptan tanto nombres de etiqueta como de rama, por lo que crear esta rama puede provocar un comportamiento inesperado. ¿Estás seguro de que quieres crear esta rama?
La clase BasicCredential es una implementación simple de la interfaz PkiCredential que se crea proporcionando la clave privada y el certificado. Esta clase se puede utilizar, por ejemplo, cuando se tiene la clave y el certificado almacenados en un archivo.
Esta clase también soporta el manejo de credenciales PKCS#11. Para ello es necesario utilizar un proveedor de seguridad que admita la creación de un KeyStore basado en una implementación PKCS#11 subyacente (por ejemplo, el proveedor SunPKCS11). Hay tres formas de crear un KeyStoreCredential para utilizarlo con PKCS#11:
Como se ha descrito anteriormente, KeyStoreCredential puede utilizarse para credenciales PKCS#11, pero está limitado a aquellos proveedores de seguridad Java que también ofrecen una abstracción KeyStore de la entrada de dispositivo PKCS#11. Pkcs11Credential es una clase que no hace ninguna suposición sobre cómo el proveedor de seguridad en uso gestiona sus entradas PKCS#11. En su lugar, utiliza la interfaz Pkcs11Configuration.
Descarga del controlador Pkcs11
Se ha utilizado un wrapper PKCS#11 para implementar el soporte de tokens con librerías PKCS#11. El proveedor PKCS#11 se ha probado en algún momento con los HSM descritos aquí, en varias versiones de firmware y software (así como algunas que no se describen). Para obtener información sobre la compatibilidad con versiones específicas, consulte el soporte u otra documentación.
Además de las claves descritas en Módulos de seguridad de hardware (HSM), el campo de propiedad Crypto Token (que coincide con los valores fáciles de usar del Crypto Token en la GUI de administración) debe contener las siguientes propiedades:
Si no se especifica attributesFile, se utiliza una configuración predeterminada incorporada (a partir de EJBCA 3.11). Por lo general, NO se debe utilizar un attributesFile y, por tanto, sólo en casos excepcionales en los que se utilice un HSM poco común que no funcione bien con los valores predeterminados.
La configuración por defecto también deshabilitará ciertos mecanismos de firma. Los mecanismos deshabilitados son para la firma cuando los datos a firmar son hasheados por PKCS#11 antes de usar la clave privada en el HSM. Cuando estos mecanismos están desactivados, el proveedor de envoltura PKCS#11 de sun realiza el hash en lugar del HSM. Esto acelera la firma en la mayoría de los casos, especialmente cuando el HSM se encuentra en otro host, y no afecta a la seguridad, ya que no se utiliza ningún secreto del HSM para el hash.
