TPM per PKCS#11 in Java-Anwendungen nutzen

vorhergehende Artikel in: PKI-X.509-CA Java Komponenten OpenSource Links Security

09.06.2026

Nach meinen Erfolgen mit einem TPM in der Version 1.2 zur Absicherung von SSH-Verbindungen wollte ich versuchen, seine Funktionalität in Java-Anwendungen zu integrieren...

Zunächst versuchte ich dazu, die prinzipielle Machbarkeit mittels softhsm zu ermitteln. Das tat ich, indem ich ein entsprechendes HSM konfigurierte und dieses anschließend in einem Java-Programm zur Realisierung eines TLS-Servers benutzte. Dazu benötigt man einen speziellen Security-Provider:

package de.elbosso.dataflowframework.scratch;

import java.io.BufferedInputStream;
import java.io.BufferedOutputStream;
import java.io.InputStream;
import java.io.OutputStream;
import java.net.Socket;
import java.security.KeyStore;
import java.security.Provider;
import java.security.SecureRandom;
import java.security.Security;
import java.util.Enumeration;
import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLServerSocket;
import javax.net.ssl.SSLServerSocketFactory;
import javax.net.ssl.SSLSocket;
import javax.net.ssl.TrustManager;
import de.elbosso.util.security.NaiveTrustingX509TrustManager;

public class Pkcs11 extends java.lang.Object
{
    public Pkcs11()
    {
        super();

    }

    public static void main(java.lang.String[] args) throws Exception
    {
        System.setProperty("javax.net.debug", "ssl");
        String configName = "/home/elbosso/.config/softhsm2/pkcs11.cfg";
        Provider p = Security.getProvider("SunPKCS11");
        Provider p1 = p.configure(configName);
        // Security.addProvider(p);
        // Load the key store
        char[] pin = "1234".toCharArray();
        KeyStore ks = KeyStore.getInstance("PKCS11", p1);
        ks.load(null, pin);
        System.out.println(ks.size());
        Enumeration<String> aliases = ks.aliases();
        for (; aliases.hasMoreElements();)
        {
            java.lang.String alias = aliases.nextElement();
            System.out.println("alias: " + alias);
        }
        KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance("SunX509");
        // Add to keystore to key manager
        keyManagerFactory.init(ks, pin);

        // Create the context

        SSLContext context = SSLContext.getInstance("TLS");
        context.init(keyManagerFactory.getKeyManagers(), new TrustManager[0]
        , new SecureRandom());
        // Create a socket factory
        SSLServerSocketFactory ssf = context.getServerSocketFactory();
        // Create the socketi
        SSLServerSocket s = (SSLServerSocket) ssf.createServerSocket(8888);
        while (true)
        {
            SSLSocket c = (SSLSocket) s.accept();
            new java.lang.Thread(new ServiceThread(c)).start();
        }
    }

    static class ServiceThread extends java.lang.Object implements java.lang.Runnable
    {
        private final Socket socket;

        ServiceThread(Socket socket)
        {
            super();
            this.socket = socket;
        }

        @Override
        public void run()
        {
            try
            {
                System.out.println(socket.getClass());
                if (SSLSocket.class.isAssignableFrom(socket.getClass()))
                {
                    // System.out.println(((SSLSocket) socket).getSession().getPeerCertificates()[0]);
                    System.out.println(((SSLSocket) socket).getSession().getProtocol());
                    System.out.println(((SSLSocket) socket).getSession().getCipherSuite());
                    // hmac_sha1(((SSLSocket) socket).getSession().getPeerCertificates()[0].getEncoded());
                    System.out.println(((SSLSocket) socket).getSession().getPeerHost());

                }
                InputStream is = new BufferedInputStream(socket.getInputStream());
                byte[] data = new byte[2048];
                int len = is.read(data);

                if (len > 0)
                {
                    String message = new String(data, 0, len);
                    OutputStream os = new BufferedOutputStream(socket.getOutputStream());
                    System.out.printf("server received %d bytes: %s%n", len, message);
                    String response = message + " from " + /*
                                                            * ((X509Certificate) ((SSLSocket)
                                                            * socket).getSession().getPeerCertificates()[0]).getSubjectX500Principal() +
                                                            */ " processed by server";
                    os.write(response.getBytes(), 0, response.getBytes().length);
                    os.flush();
                }
                socket.close();
            }
            catch (java.lang.Throwable t)
            {
                t.printStackTrace();
            }
        }
    }

}

Läuft dieses Programm, kann man das Server-Zertifikat mittels OpenSSL extrahieren:

openssl s_client -showcerts -servername localhost -connect localhost:8888

Anschließend vergleicht man dieses Zertifikat mit dem des HSM:

# ID ermitteln
pkcs11-tool --module /usr/lib/x86_64-linux-gnu/softhsm/libsofthsm2.so --list-objects
# Zertifikat der angegebenen ID exportieren
pkcs11-tool --module /usr/lib/x86_64-linux-gnu/softhsm/libsofthsm2.so --read-object --id xxxxxxxx --type cert --output-file /tmp/softhsm.der
# Inspektion des exportierten Zertifikats
openssl x509 -inform der -in /tmp/softhsm.der -noout -text

Man stellt fest, dass beide übereinstimmen.

Leider war es mir bisher nicht möglich, dieses Vorgehen mit den TPMs, die ich in den Fujitsu Futro ThinClients vorfand zu verifizieren: Die Bibliothek, die ich zum Zugriff auf die HSM-Funktionalität benutzte war nicht in der von Java gewünschten Version verfügbar und ich habe dafür bisher noch keinen gleichwertigen Ersatz gefunden. Versucht man, den oben gezeigten Code mit einem dieser TPMs zum Laufen zu bringen, erscheint folgende Ausgabe:

Exception in thread "main" java.security.ProviderException: Initialization failed
        at jdk.crypto.cryptoki/sun.security.pkcs11.SunPKCS11.<init>(SunPKCS11.java:396)
        at jdk.crypto.cryptoki/sun.security.pkcs11.SunPKCS11$1.run(SunPKCS11.java:116)
        at jdk.crypto.cryptoki/sun.security.pkcs11.SunPKCS11$1.run(SunPKCS11.java:113)
        at java.base/java.security.AccessController.doPrivileged(Native Method)
        at jdk.crypto.cryptoki/sun.security.pkcs11.SunPKCS11.configure(SunPKCS11.java:113)
        at de.elbosso.dataflowframework.scratch.Pkcs11.main(Pkcs11.java:33)
Caused by: java.security.ProviderException: Only PKCS#11 v2.0 and later supported, library version is v0.01
        at jdk.crypto.cryptoki/sun.security.pkcs11.SunPKCS11.<init>(SunPKCS11.java:357)

Links

SoftHSM started as part of the OpenDNSSEC project. Today it's a standalone project.

											Öffnen
										
SunPKCS11 provider in Java 9

											Öffnen
										
Pkcs#11 with SSL in java

											Öffnen
										
How to Enable PKCS #11 Consumers to Use TPM as a Secure Keystore

											Öffnen
										
In this project we intend to use a TPM2 device as the cryptographic token.

											Öffnen
										
A simple library for using the TPM chip to secure SSH keys.

											Öffnen
										
Werkzeuge für TPM auf Linux installieren, Schlüssel und Zertifikate verwalten und benutzen

											Öffnen
										
Trusted Platform Module/1.2

											Öffnen
										
How to use Self Signed certificate with SSLServerSocket?

											Öffnen
										
Generate an OpenSSL X.509 certificate with SoftHSM2

											Öffnen
										
Using pkcs11-tool and OpenSSL

											Öffnen
										
openCryptoki version 3.26 implements the PKCS#11 specification version 3.0 and partially version 3.1.

											Öffnen
										
Getting certificates from smartcards

											Öffnen

Vor 5 Jahren hier im Blog

Keycloak, OTP, FIDO

11.06.2021

Ich berichtete neulich über die Installation und erste Tests von Keycloak. Nun bin ich tiefer eingetaucht und habe die diversen Möglichkeiten untersucht, die Authentifizierung mittels zweiten Faktors sicherer zu machen.
Weiterlesen

Neueste Artikel

LinkCollections 2026 V

letzten losen Zusammenstellung (für mich) interessanter Links aus den Tiefen des Internet von 2026 folgt hier gleich die nächste:
Weiterlesen
Trusted Platform Module im Thin Client Fujitsu Futro nutzen

Es geht hier speziell um das Modell s920. Bei Recherchen zu meinen letzten Experimenten hatte ich auch realisiert, dass ich einen solchen Thin Client mit montiertem TPM besitze - das musste natürlich ausprobiert werden!
Weiterlesen
Hardwarebeschleunigung zur Berechnung des Mandelbrotfraktals mittels Nvidia

Ich habe vor geraumer Zeit immer wieder einmal das Mandelbrotfraktal berechnet - auf der Kommandozeile genauso wie mittels Shadern auf der Graphikkarte. Nun bin ich dahin zurückgekehrt: Ich wollte wissen, ob dieser Code heute noch funktioniert und mit einer Nvidia-Karte ebenso funktioniert, wie damals mit meiner guten alten Radeon...
Weiterlesen

Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.

Wer daran teilhaben und eventuell sogar davon profitieren möchte, muss damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.

Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...

PS: Meine öffentlichen Codeberg-Repositories findet man hier.

TPM per PKCS#11 in Java-Anwendungen nutzen

Links

Vor 5 Jahren hier im Blog

Tags

Neueste Artikel

Der Verfasser