<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Mon, Jun 24, 2013 at 2:48 PM, Rick van Rein <span dir="ltr"><<a href="mailto:rick@openfortress.nl" target="_blank">rick@openfortress.nl</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<div class="im"><br>
> Nit: PKCS #11 is not a networked API, but implementations can access remote devices.<br>
><br>
> That how usually remotoe HSM are used, right?<br>
<br>
</div>Some HSMs are network connected, in which case the PKCS #11 API  will conceal a remote conncetion.<br>
Other HSMs are plug-in cards for a system bus like PCI or USB.<br></blockquote><div><br>I'm concerned about network ones.<br> <br><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div class="im">
> >  how the user "select the key container". In other words: how i select my certificate and not the one from my neighbourgs ?<br>
><br>
> * CKA_ID and/or CKA_LABEL attributes<br>
> * multiple slots / tokens, sometimes called "partitions" of your HSM<br>
><br>
> I know PKCS#11 internals, and i know how i can (as developer) select a cert, but still cant see how this is done in a "transparent" browser.<br>
> The browser request GetSlotList (so every slot should be returned) and all certificates are shown?<br>
<br>
</div>All those that are visible to the authenticating user and in the slot/token that you setup.<br>
<div class="im"><br>
> I dont know if you see my point: how to link "account" with partition?<br>
<br>
</div>By configuring its token name in the browser, and/or by access control.  I am not sure if / how browsers will let you specify the token though.<br></blockquote><div><br></div><div>I still dont get it. I could register a PKCS#11 module on my firefox to communicate with an HSM.<br>

</div><div>But that doesnt involve, in any way, linking "<a href="mailto:john.doe@example.com">john.doe@example.com</a>" authenticated user with a certificate stored on HSM.<br></div><div>I must be missing something, like a browser addon, special library initialization (not covered by pkcs#11 standard) or something-else, that will tell HSM to get the correct certificate/partition.<br>

</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<span class="HOEnZb"><font color="#888888"><br>
-Rick</font></span></blockquote></div><br></div></div>