come alcuni commenti dicono, lo yubikey può funzionare come una smartcard e, a seconda di quanto sia sicura la sua resistenza alla manomissione, potresti essere certo in grado di usarlo come una piccola CA.
piccolo per il semplice motivo che lo yubi è "solo" una smartcard e non un HSM "a tutti gli effetti", il che significa che probabilmente ha un andamento piuttosto lento (parola chiave: in confronto).
quando controlli altri sistemi HSM normalmente sono come le schede PCI o essenzialmente assomigliano a un server blade o qualcosa del genere, in altre parole sono enormi rispetto a un yubikey e se le parole di yubico sono vere, gli altri HSM si avvicinano 300 Watt circa, mentre lo Yubi gira su USB e NON PU ((secondo la specifica USB) tirare più di 2,5 W (0,5 A * 5 V), anche se probabilmente sta tirando ancora meno.
una cosa che dovresti notare è che se hai un Yubikey 4 dovresti controllare la versione del tuo firmware prima di generare qualsiasi chiave RSA su di esso.
link
ricorda anche che non puoi leggere la chiave dallo yubi, il che significa che se si rompe o se lo blocchi inserendo pin o puk 2, la tua chiave privata è PERDUTA PER SEMPRE.
a seconda dello scenario, utilizzerei un computer completamente offline per generare la chiave, salvarla da qualche parte in sicurezza (offline, ovviamente, ad esempio su carta, ma crittografarla per prima) quindi inserirla sullo yubi in realtà usalo Non dimenticarti di pulire il PC, o ancora di farlo in modo che non ci sia nulla che debba essere cancellato (rimuovi tutti i dischi rigidi e altri supporti di memorizzazione e lavori solo sulla RAM con un CD live.)