发现天地融的U盾在PKCS#11的实现上有些问题

老妈办了个工行的U盾,天地融的LCD版,爸妈也不大用网银,说是要给我。于是我就拿来玩玩。

U盾这东西怎么玩呢,那还真有的玩,比方说把硬盘加密,让电脑插上U盾才能开机~~

很显然,现在安全的token基本上都支持PKCS#11中间件,像FireFox、TrueCrypt、FreeOTFE这些软件都是原生支持PKCS#11的,兴冲冲地去测试,结果碰了一鼻子灰,貌似这玩意的实现写的有毛病。。

表现在无法正常列出证书列表,导入文件后列不出,有时有有时没的,也没法打开用来解密。试了下FreeOTFE和TrueCrypt都不行。

其实啊,怎么看怎么感觉这token就是一U盘,证书就直接存在上面,但是读取要通过特别的DeviceIoControl,就像U盘量产那样。。这样是不是我随便找个U盘,阅读下主控芯片的白皮书然后自己写个PKCS中间件就可以了。。YY中。。

CategoriesUncategorized

12 Replies to “发现天地融的U盾在PKCS#11的实现上有些问题”

  1. 哥们,我就是天地融的开发人员。
    你怎么导入的?我们使用FireFox,是可以显示证书的。
    只不过不支持导入、导出,这才是关键。

    1. 主要就是PKCS#11中间件的问题,两大硬盘加密软件均无法正常调用,表现在使用PKCS接口导入密钥后无法显示U盾里存放的密钥列表,并且会覆盖掉工行原有的证书导致网银残废。。建议你们团队对PKCS#11部分做一检测

  2. 今天使用TrueCrypt搞我的ABC的K宝,通过菜单加入了K宝的PKCS#11运行库之后,也是发现不了里面自有的证书,但是我可以把一个TrueCrypt自己生成的随机密钥文件放进去,下次再打开TrueCrypt就可以看得到在K宝上的随机密钥文件了,还可以通过TrueCrypt的密钥管理将其删除,但是这个密钥文件在K宝里是看不到的。悲剧的是,我后来将一个18K大小的文件当作密钥放进去之后,TrueCrypt就无法再进行类似的管理了,一进入与密钥管理相关的界面再认证后TrueCrypt就会自动退出。我怀疑,最后写入的那个文件过大,致使K宝的一些数据出了问题。但是,目前K宝还能够正常使用,并没有报废。我对于你说的那个“把硬盘加密,让电脑插上U盾才能开机”很有兴趣,万望不吝赐教!

    1. 偶的U盾后来应该是我妈重新拿工行去弄了一下才行。。“让电脑插上U盾才能开机”说的其实就是加密系统盘

  3. 天地融自己出芯片吗?今天看到一个农行的TOKEN,里面芯片上LOGO打的TENDYRON觉得奇怪,我一直认为天地融是做COS的,也自己出芯片?

  4. 可以肯定的是不是直接弄了个U盘瞎搞的。
    PKCS#11实现上的问题在于,没有实现全部接口,只有简单几个网银上用的上的。
    您说的登录管理,大概是提供的域登陆功能。另外,如果COS可以支持,在windows7里面提供了bitlocker功能。

  5. 天地融自己肯定不做芯片。
    如果出货量大,是可以向芯片提供商要求定制的logo的。天地融以及其他几家千万级的Key厂商其实都有权利定制,不过意义不大。

Leave a Reply

Your email address will not be published. Required fields are marked *