Cómo desterminar si un Identificador de Clave se encuentra duplicado en un dispositivo PKCS#11 (es)

Owned by Armando Carratala
Feb 03, 2024
Nivel técnico: MEDIO-ALTO
Actualizado: Ene-2024
English Version

 Motivo

Esta situación es poco habitual y puede deberse a que el emisor del certificado ha incluido un error en su proceso de emisión, o se ha utilizado alguna herramienta de edición para generar esta condición contradictoria al estandar PKCS#11.

Estas instrucciones le permitirán determinar si su dispositivo se encuentra en esta situación.

Identificadores de Clave duplicados dentro del dispositivo

Dentro de un dispositivo cada elemento es identificado de manera unívoca por un identificador único CKA_ID que relaciona al certificado, su clave pública y clave privada.

Cuando el mismo identificador es utilizado para más de una par de claves, no es posible asociar de manera correcta cada elemento.
Esta situación no es correcta y puede ocurrir porque el emisor del certificado a utilizado el mismo identificar al emitir el certificado. O porque se ha forzado esta situación al importar una copia de seguridad desde un archivo PKCS#12.

Existe más de una clave privada con el mismo CKA_ID

Es necesario que usted borre aquella clave privada y/o certificado que genera el conflicto y no corresponde.
Nota: Es conveniente que realice esta tarea desde la herramienta de administración de su dispositivo.

Si tiene más de un certificado, borre aquel que no corresponda desde el Administrador.
Si su administrador permite ver objetos “huérfanos” (aquellos que no tienen un certificado asociado), proceda a borrarlos, tal como puede ver en esta imagen.

 

Si no cuenta con ninguna de estas opciones, puede utilizar PKCS11Admin sobre la clave que cree que es la incorrecta, tal como se muestra en esta imagen:

Nota: Esta operación NO es reversible.

 

Herramientas de Diagnóstico

A continuación le indicamos algunas herramientas de diagnóstico que un técnico puede utilizar si desea analizar el caso en detalle. Esto se encuentra orientado a personal técnico principalmente.

Diagnóstico

Para poder obtener un diagnóstico preciso del problema es posible utilizar el administrador del dispositivo criptográfico. Algunos de ellos permiten observar la información de los identificadores de los objetos y poder determinar que:

  • El certificado que se está intentando acceder tiene su clave privada correspondiente

  • No existen más de dos clave o certificados que tengan el mismo identificador (CKA_ID).

Para poder observar esta información utilice el software administrador de su dispositivo.

Si el software no le permite listar los objetos en detalle, usted puede seguir las siguientes instrucciones de las herramientas PKCS11Admin o PKCS11-tools.

: Utilizar PKCS11Admin

Descargue la aplicación PKCS11Admin desde su sitio oficial en https://www.pkcs11admin.net/

Siga las instrucciones para seleccionar el driver de su dispositivo y listar todos los objetos que se encuentra en el mismo.

  1. Cargue el driver correspondiente a su dispositivo:

     

  2. Ingrese la contraseña de su dispositivo en la opción login

     

  3. Compare que a cada certificado existe una sola correspondiente clave privada tal como se muestra en en las imágenes.

     



: Utilizar PKCS11-Tools

 

  1. Descargue el archivo comprimido de la herramienta de análisis (solo para equipo windows)
    pkcs11-tools.zip

  2. Descomprima el paquete en un directorio de su equipo

     

  3. Abra una consola de Windows (CMD), conecte su dispositivo y ejecute el comando:

    tools\pkcs11-tool --module C:\Windows\System32\eTPKCS11.dll -l -O

    Recuerde reemplazar en nombre del driver (en este ejemplo se está utilizando el driver de Gemalto eToken) por el que corresponde a su dispositivo.
    Dentro de paquete puede encontrar el comando list-objects.cmd que le permitirá listar todos los objetos que se encuentran en su dispositivo. Usted debe ingresar la contraseña del mismo tal como se muestra en esta imagen.

     

  4. Busque entre los objetos listados el certificado que está utilizando y la clave privada, y que la misma no se encuentre repetida.
    El la imagen que parace a continuación puede ver como identificar la tripleta de “Certificado <> Clave Privada <> Clave Pública”.
    NO DEBEN existir más de una misma clave privada, certificado o clave pública que tengan el mismo idenfificador.