/usr/lib/security/pkcs11_kernel.so /usr/lib/security/64/pkcs11_kernel.so
pkcs11_kernel.so 对象使用专用接口与内核加密框架进行通信,从而实现 RSA Security Inc. PKCS#11 加密令牌接口 (Cryptoki) v2.20 规范。
每个唯一的硬件提供者均由一个 PKCS#11 插槽表示。在没有硬件内核加密框架提供者的系统中,此 PKCS#11 库不提供插槽。
此库所提供的 PKCS#11 机制由可用硬件提供者确定。
应用程序开发者应链接到 libpkcs11.so,而不是直接链接到 pkcs11_kernel.so。请参见 libpkcs11(3LIB)。
除以下函数之外,实现了 libpkcs11(3LIB) 中列出的所有标准 PKCS#11 函数:
C_DecryptDigestUpdate C_DecryptVerifyUpdate C_DigestEncryptUpdate C_GetOperationState C_InitToken C_InitPIN C_SetOperationState C_SignEncryptUpdate C_WaitForSlotEvent
对这些函数的调用将返回 CKR_FUNCTION_NOT_SUPPORTED。
缓冲区不能大于 2 兆字节。例如,可以使用 2 兆字节的纯文本缓冲区和 2 兆字节的密文缓冲区调用 C_Encrypt()。
对 C_FindObjects() 的调用可返回的最大对象句柄数为 512。
可用于加密操作的最大内核内存量受 project.max-crypto-memory 资源控制限制。内核中对缓冲区的分配以及与会话相关的结构分配都按照此资源控制执行。
在 RSA PKCS#11 v2.20 规范中定义并列出了其中每个已实现函数的返回值。请参见 http://www.rsasecurity.com。
有关以下属性的说明,请参见 attributes(5):
|
cryptoadm(1M)、rctladm(1M)、libpkcs11(3LIB)、attributes(5)、pkcs11_softtoken (5)
RSA PKCS#11 v2.20 http://www.rsasecurity.com
如果应用程序具有 PKCS#11 插槽的打开会话,则会导致相应硬件提供者不能将驱动程序设为无法装入。管理员必须关闭具有打开 PKCS#11 会话的应用程序后,硬件提供者才能将驱动程序设为无法装入。