Tengo que implementar una función de derivación de clave personalizada que básicamente funciona de la siguiente manera:
Tengo la clave de cifrado K en un contenedor seguro de HSM. K no se puede exportar y la única forma de usarlo es a través del comando HSM o la función PKCS # 11.
La clave derivada DK es la salida de los datos de cifrado con la clave K, por lo que DK = E (datos, K).
Mi problema es cuando implemento esta función a través de comandos o la función PKCS # 11, obtendré un texto en claro de DK fuera del contenedor seguro de HSM. Necesito asegurar la clave para que nunca salga del contenedor seguro.
¿Es posible implementar funciones personalizadas, como mi función de derivación, dentro del contenedor seguro de HSM para que la salida se pueda asegurar como una clave criptográfica? ¿Cómo hacerlo sin obtener la salida de texto claro de DK?