6.12. 设置新密钥设置

这部分论述了在 Token Processing System(TPS)和 Token Key Service(TKS)中设置的默认密钥的替代选择。
TKS 配置
在 TKS 中使用 /var/lib/pki/instance_name/tks/conf/CS.cfg 文件中的以下选项配置默认密钥: 
tks.defKeySet._000=##
tks.defKeySet._001=## Axalto default key set:
tks.defKeySet._002=##
tks.defKeySet._003=## tks.defKeySet.mk_mappings.#02#01=<tokenname>:<nickname>
tks.defKeySet._004=##
tks.defKeySet.auth_key=#40#41#42#43#44#45#46#47#48#49#4a#4b#4c#4d#4e#4f
tks.defKeySet.kek_key=#40#41#42#43#44#45#46#47#48#49#4a#4b#4c#4d#4e#4f
tks.defKeySet.mac_key=#40#41#42#43#44#45#46#47#48#49#4a#4b#4c#4d#4e#4f
tks.defKeySet.nistSP800-108KdfOnKeyVersion=00
tks.defKeySet.nistSP800-108KdfUseCuidAsKdd=false
以上配置定义了特定于在 TMS 中可以使用的某些类型或类的设置。最重要的部分是 3 开发人员或(开箱即用)会话密钥,它们用于在对称密钥移交前创建安全频道。其他类型的键对这些键可能有不同的默认值。
描述 nistSP800 键 实用程序方法的设置控制是否使用了此方法。具体来说,tks.defKeySet.nistSP800-108KdfOnKeyVersion 选项的值决定了将使用 NIST 版本。nistSP800-108KdfUseCuidAsKdd 选项允许您在处理过程中使用传统的密钥 ID 值 CUID。较新的 KDD 值最常被使用,因此默认禁用这个选项(false)。这可让您配置新密钥集,以启用对新类密钥的支持。

例 6.2. 为 jForte 类启用支持

要启用对 jForte 类的支持,请设置: 
tks.jForte._000=##
tks.jForte._001=## SAFLink's jForte default key set:
tks.jForte._002=##
tks.jForte._003=## tks.jForte.mk_mappings.#02#01=<tokenname>:<nickname>
tks.jForte._004=##
tks.jForte.auth_key=#30#31#32#33#34#35#36#37#38#39#3a#3b#3c#3d#3e#3f
tks.jForte.kek_key=#50#51#52#53#54#55#56#57#58#59#5a#5b#5c#5d#5e#5f
tks.jForte.mac_key=#40#41#42#43#44#45#46#47#48#49#4a#4b#4c#4d#4e#4f
tks.jForte.nistSP800-108KdfOnKeyVersion=00
tks.jForte.nistSP800-108KdfUseCuidAsKdd=false
请注意,与上例相比,3 静态会话键的区别。
证书系统支持 Secure Channel Protocol 03(SCP03)用于 Giesecke & Devrient(G&D)Smart Cafe 6 智能卡。要在 TKS 中启用对那些智能卡的 SCP03 支持,请在 /var/lib/pki/instance_name/tks/conf/CS.cfg 文件中设置: 
tks.defKeySet.prot3.divers=emv
tks.defKeySet.prot3.diversVer1Keys=emv
tks.defKeySet.prot3.devKeyType=DES3
tks.defKeySet.prot3.masterKeyType=DES3
TPS 配置
当支持的客户端试图对令牌执行操作时,必须将 TPS 配置为识别新密钥集。默认 defKeySet 最常被使用。
决定 TPS 中的 keySet 的主要方法涉及 第 6.7 节 “映射解析器配置”。有关建立此解析器机制所需的具体设置,请查看链接部分。
如果 KeySet Mapping Resolver 不存在,则 TPS 提供了几个回退方法来确定正确的 keySet
  • 您可以将 tps.connector.tks1.keySet=defKeySet =defKeySet 添加到 TPS 的 CS.cfg 配置文件中。
  • 某些客户端可以配置为显式传递所需的 keySet 值。但是,企业安全客户端在此刻没有此功能。
  • 当 TPS 根据所需方法计算正确的 keySet 时,到 TKS 的所有请求来帮助创建安全频道传递 keySet 值。然后 TKS 可以使用自己的 keySet 配置(上述步骤)来确定如何继续。