BaBaSSL和Usbkey之间证书认证

[BigBlade]

需求背景： 因为我们的私钥文件是存在UsbKey里面的，但是UsbKey不能读出介质之外，所以想知道BaBaSSL的引擎能不能达到证书认证的过程，如果可以的话，有没有相关参考文章，谢谢@InfoHunter

[Dave379776966]

需求背景： 因为我们的私钥文件是存在UsbKey里面的，但是UsbKey不能读出介质之外，所以想知道BaBaSSL的引擎能不能达到证书认证的过程，如果可以的话，有没有相关参考文章，谢谢@InfoHunter

@InfoHunter @dongbeiouba 两位大佬能回复一下么

[dongbeiouba]

需求背景： 因为我们的私钥文件是存在UsbKey里面的，但是UsbKey不能读出介质之外，所以想知道BaBaSSL的引擎能不能达到证书认证的过程，如果可以的话，有没有相关参考文章，谢谢@InfoHunter

@InfoHunter @dongbeiouba 两位大佬能回复一下么

基于Engine的方式，BabaSSL + 密码卡（包括支持国密算法和国际算法的加速/加密卡），是可以工作的；私钥存储于密码卡内，进行身份认证也是OK的。

我当前还没有测试过UsbKey + BabaSSL，建议可以使用BabaSSL + UsbKey联调测试一下，有问题可以提交Issue。

[Dave379776966]

基于Engine的方式，BabaSSL + 密码卡（包括支持国密算法和国际算法的加速/加密卡），是可以工作的；私钥存储于密码卡内，进行身份认证也是OK的。

但是我们和国密相关人员已经沟通了，他们说即使私钥加密后放在加密卡是也是不能通过商密认证的。

[InfoHunter]

但是我们和国密相关人员已经沟通了，他们说即使私钥加密后放在加密卡是也是不能通过商密认证的。

这个太笼统了，目前从BabaSSL角度没法给更好的建议

[Dave379776966]

基于Engine的方式，BabaSSL + 密码卡（包括支持国密算法和国际算法的加速/加密卡），是可以工作的；私钥存储于密码卡内，进行身份认证也是OK的。

@dongbeiouba 这个方案咱们有相关的操作手册吗，如果有发个链接

[dongbeiouba]

@dongbeiouba 这个方案咱们有相关的操作手册吗，如果有发个链接

API主要涉及Engine相关接口，可以直接参考OpenSSL官方文档: https://www.openssl.org/docs/man1.1.1/man3/ENGINE_register_all_ciphers.html 或者https://babassl.readthedocs.io/zh/latest/API/manpages/man3/ENGINE_add.html

实际应用示例可以参考一下OpenSSL + QAT，https://github.com/intel/QAT_Engine

[Dave379776966]

但是我们和国密相关人员已经沟通了，他们说即使私钥加密后放在加密卡是也是不能通过商密认证的。

这个太笼统了，目前从BabaSSL角度没法给更好的建议

对于私钥这种需要极高安全存储的话，咱们都是怎么存储的，如何才能达到过检的要求呢？ @InfoHunter

[InfoHunter]

具体检测的要求，和送检产品的类型有关系，例如密码模块的话，有1-4级，不同的等级对私钥这种敏感安全参数的安全性也有不同要求，可以参考下GM/T 0028。如果是非密码模块类型的产品，那就按照相关的标准执行即可

[Dave379776966]

我们是否有计划支持SKF引擎的接口？

[InfoHunter]

有，计划下个大版本8.4.0支持

[Dave379776966]

有，计划下个大版本8.4.0支持

大概得多长时间？ 能先出来一个小版本吗？

[InfoHunter]

小版本没有计划，但是等我们搞完了，可以直接用master的代码，目前看7月份之后吧

[InfoHunter]

可以关注下这个issue的进展：https://github.com/BabaSSL/BabaSSL/issues/76