2
我正在構建存儲密鑰和使用HSM加密\解密數據的解決方案。我正在使用Thales製造的網絡HSM。我注意到的是客戶端機器2中生成的密鑰在客戶端機器2中不可訪問。該密鑰只能用於加密\解密客戶端機器1中的數據。是否有任何事情需要在我的實現中進行更改或是否有需要在net-HSM配置中進行更改以實現此目的。我正在使用PKCS11Iterop庫進行所有密鑰管理操作。從一個HSM客戶端創建的密鑰不可用於另一個客戶端
我正在使用基於令牌的OCS保護。
這不是假設自動發生,否則使用網絡HSM有什麼意義。我的理解是,密鑰將在所有客戶端共享,因爲他們有一個共同的RFS。 – Aashish
我想網絡HSM的重點在於它可以被這個網絡中的所有機器訪問。也就是說,所有機器都可以在HSM中擁有自己的密鑰。這並不意味着他們必須共享密鑰,因爲每臺機器都有自己的kmdata/local目錄。 但是,如果您使用的是遠程文件系統,並且兩臺計算機共享相同的kmdata/local目錄,那麼,是的,這兩臺計算機應該能夠訪問共享密鑰。 – Egl
是的,如果客戶有一個共同的RFS,那麼他們可以共享密鑰。我還發現密鑰不會與RFS服務器同步。有一個名爲rfs-sync.exe的實用程序,用於同步RFS和客戶機之間的密鑰。 – Aashish