TPM per PKCS#11 in Java-Anwendungen nutzen
Nach meinen Erfolgen mit einem TPM in der Version 1.2 zur Absicherung von SSH-Verbindungen wollte ich versuchen, seine Funktionalität in Java-Anwendungen zu integrieren...
Zunächst versuchte ich dazu, die prinzipielle Machbarkeit mittels softhsm zu ermitteln. Das tat ich, indem ich ein entsprechendes HSM konfigurierte und dieses anschließend in einem Java-Programm zur Realisierung eines TLS-Servers benutzte. Dazu benötigt man einen speziellen Security-Provider:
package de.elbosso.dataflowframework.scratch;
import java.io.BufferedInputStream;
import java.io.BufferedOutputStream;
import java.io.InputStream;
import java.io.OutputStream;
import java.net.Socket;
import java.security.KeyStore;
import java.security.Provider;
import java.security.SecureRandom;
import java.security.Security;
import java.util.Enumeration;
import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLServerSocket;
import javax.net.ssl.SSLServerSocketFactory;
import javax.net.ssl.SSLSocket;
import javax.net.ssl.TrustManager;
import de.elbosso.util.security.NaiveTrustingX509TrustManager;
public class Pkcs11 extends java.lang.Object
{
public Pkcs11()
{
super();
}
public static void main(java.lang.String[] args) throws Exception
{
System.setProperty("javax.net.debug", "ssl");
String configName = "/home/elbosso/.config/softhsm2/pkcs11.cfg";
Provider p = Security.getProvider("SunPKCS11");
Provider p1 = p.configure(configName);
// Security.addProvider(p);
// Load the key store
char[] pin = "1234".toCharArray();
KeyStore ks = KeyStore.getInstance("PKCS11", p1);
ks.load(null, pin);
System.out.println(ks.size());
Enumeration<String> aliases = ks.aliases();
for (; aliases.hasMoreElements();)
{
java.lang.String alias = aliases.nextElement();
System.out.println("alias: " + alias);
}
KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance("SunX509");
// Add to keystore to key manager
keyManagerFactory.init(ks, pin);
// Create the context
SSLContext context = SSLContext.getInstance("TLS");
context.init(keyManagerFactory.getKeyManagers(), new TrustManager[0]
, new SecureRandom());
// Create a socket factory
SSLServerSocketFactory ssf = context.getServerSocketFactory();
// Create the socketi
SSLServerSocket s = (SSLServerSocket) ssf.createServerSocket(8888);
while (true)
{
SSLSocket c = (SSLSocket) s.accept();
new java.lang.Thread(new ServiceThread(c)).start();
}
}
static class ServiceThread extends java.lang.Object implements java.lang.Runnable
{
private final Socket socket;
ServiceThread(Socket socket)
{
super();
this.socket = socket;
}
@Override
public void run()
{
try
{
System.out.println(socket.getClass());
if (SSLSocket.class.isAssignableFrom(socket.getClass()))
{
// System.out.println(((SSLSocket) socket).getSession().getPeerCertificates()[0]);
System.out.println(((SSLSocket) socket).getSession().getProtocol());
System.out.println(((SSLSocket) socket).getSession().getCipherSuite());
// hmac_sha1(((SSLSocket) socket).getSession().getPeerCertificates()[0].getEncoded());
System.out.println(((SSLSocket) socket).getSession().getPeerHost());
}
InputStream is = new BufferedInputStream(socket.getInputStream());
byte[] data = new byte[2048];
int len = is.read(data);
if (len > 0)
{
String message = new String(data, 0, len);
OutputStream os = new BufferedOutputStream(socket.getOutputStream());
System.out.printf("server received %d bytes: %s%n", len, message);
String response = message + " from " + /*
* ((X509Certificate) ((SSLSocket)
* socket).getSession().getPeerCertificates()[0]).getSubjectX500Principal() +
*/ " processed by server";
os.write(response.getBytes(), 0, response.getBytes().length);
os.flush();
}
socket.close();
}
catch (java.lang.Throwable t)
{
t.printStackTrace();
}
}
}
}
Läuft dieses Programm, kann man das Server-Zertifikat mittels OpenSSL extrahieren:
openssl s_client -showcerts -servername localhost -connect localhost:8888
Anschließend vergleicht man dieses Zertifikat mit dem des HSM:
# ID ermitteln
pkcs11-tool --module /usr/lib/x86_64-linux-gnu/softhsm/libsofthsm2.so --list-objects
# Zertifikat der angegebenen ID exportieren
pkcs11-tool --module /usr/lib/x86_64-linux-gnu/softhsm/libsofthsm2.so --read-object --id xxxxxxxx --type cert --output-file /tmp/softhsm.der
# Inspektion des exportierten Zertifikats
openssl x509 -inform der -in /tmp/softhsm.der -noout -text
Man stellt fest, dass beide übereinstimmen.
Leider war es mir bisher nicht möglich, dieses Vorgehen mit den TPMs, die ich in den Fujitsu Futro ThinClients vorfand zu verifizieren: Die Bibliothek, die ich zum Zugriff auf die HSM-Funktionalität benutzte war nicht in der von Java gewünschten Version verfügbar und ich habe dafür bisher noch keinen gleichwertigen Ersatz gefunden. Versucht man, den oben gezeigten Code mit einem dieser TPMs zum Laufen zu bringen, erscheint folgende Ausgabe:
Exception in thread "main" java.security.ProviderException: Initialization failed
at jdk.crypto.cryptoki/sun.security.pkcs11.SunPKCS11.<init>(SunPKCS11.java:396)
at jdk.crypto.cryptoki/sun.security.pkcs11.SunPKCS11$1.run(SunPKCS11.java:116)
at jdk.crypto.cryptoki/sun.security.pkcs11.SunPKCS11$1.run(SunPKCS11.java:113)
at java.base/java.security.AccessController.doPrivileged(Native Method)
at jdk.crypto.cryptoki/sun.security.pkcs11.SunPKCS11.configure(SunPKCS11.java:113)
at de.elbosso.dataflowframework.scratch.Pkcs11.main(Pkcs11.java:33)
Caused by: java.security.ProviderException: Only PKCS#11 v2.0 and later supported, library version is v0.01
at jdk.crypto.cryptoki/sun.security.pkcs11.SunPKCS11.<init>(SunPKCS11.java:357)
Links
SoftHSM started as part of the OpenDNSSEC project. Today it's a standalone project.
SunPKCS11 provider in Java 9
Pkcs#11 with SSL in java
How to Enable PKCS #11 Consumers to Use TPM as a Secure Keystore
In this project we intend to use a TPM2 device as the cryptographic token.
A simple library for using the TPM chip to secure SSH keys.
Werkzeuge für TPM auf Linux installieren, Schlüssel und Zertifikate verwalten und benutzen
Trusted Platform Module/1.2
How to use Self Signed certificate with SSLServerSocket?
Generate an OpenSSL X.509 certificate with SoftHSM2
Using pkcs11-tool and OpenSSL
openCryptoki version 3.26 implements the PKCS#11 specification version 3.0 and partially version 3.1.
Getting certificates from smartcards
Vor 5 Jahren hier im Blog
-
Falsches Encoding in XML-Dateien
26.06.2021
Neulich kam während des Zutaten-für-Kuchen-Verdienens eine interessante Frage aus, die ich hier näher beleuchten möchte:
Weiterlesen
Tags
AI und ML Android Basteln C und C++ Chaos Datenbanken Docker dWb+ ESP Wifi Garten Geo Go GUI Hardware Java Jupyter JupyterBinder Komponenten Links Linux Markdown Markup Music Numerik OpenSource PKI-X.509-CA Präsentationen Python QBrowser Rants Raspi Revisited Security Software-Test sQLshell TeleGrafana Verschiedenes Video Virtualisierung Windows Upcoming...
Neueste Artikel
-
Neue Plugins in meiner neovim-Konfiguration
Nachdem ich das letzte Mal darüber berichtet habe, dass einige Plugins aus meiner neovim-Konfiguration rausgeflogen sind, habe ich nun mal wieder zwei neue darin aufgenommen
Weiterlesen -
LinkCollections 2026 VI
letzten losen Zusammenstellung (für mich) interessanter Links aus den Tiefen des Internet von 2026 folgt hier gleich die nächste:
Weiterlesen -
Performanceverbesserungen in dWb+ 4.4pre2 build 11264
In meinem letzten Artikel zum Thema dWb+ beschrieb ich ein neues Feature der Lösung - nunmehr wende ich mich einer wichtigen nichtfunktionalen Anforderung zu
Weiterlesen
Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.
Wer daran teilhaben und eventuell sogar davon profitieren möchte, muss damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.
Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...
PS: Meine öffentlichen Codeberg-Repositories findet man hier.