Sto valutando i lettori di smart card per memorizzare un numero di chiavi private, ma non so da dove iniziare.
Quali criteri sono importanti per le smart card e per impedire l'estrazione o l'utilizzo non autorizzato della chiave privata?
Sto valutando i lettori di smart card per memorizzare un numero di chiavi private, ma non so da dove iniziare.
Quali criteri sono importanti per le smart card e per impedire l'estrazione o l'utilizzo non autorizzato della chiave privata?
C'è uno standard di sicurezza per le smartcard sotto lo schema Common Criteria : il Profilo di protezione smart card . Un profilo di protezione definisce le proprietà di sicurezza previste da un dispositivo o sistema.
Il PP della smart card è definito per EAL4 + . Per dirla in modo succinto, l'EAL definisce quali aspetti del progetto del prodotto vengono valutati e in quale misura (documenti di progettazione, revisione del codice, sviluppo e test indipendenti, pratiche di manutenzione, consegna, ecc.). Una certificazione CC prevede anche test di penetrazione e il + in smartcard EAL4 + è una quantità extra di potenziale aggressore nei test di penetrazione.
Puoi trovare un elenco di prodotti certificati sul sito web Common Criteria e su vari siti Web nazionali (certificazioni fino a EAL4 sono riconosciuti a livello internazionale). I prodotti in tale elenco potrebbero essere valutati rispetto a un diverso profilo di protezione che copre un obiettivo diverso: troverai componenti di smartcard lì e dispositivi basati su smartcard come passaporti, tessere sanitarie, carte con un'interfaccia software definita come JavaCard, ecc.
A meno che tu non sia un acquirente governativo o bancario, non devi ottenere un prodotto certificato. La certificazione ha un costo, che si riflette nel prezzo del dispositivo. La certificazione non è una pallottola d'argento: dice solo "questo sembra buono", non "questo è assolutamente garantito per essere sicuro". In linea di principio, una certificazione CC ti dà una garanzia indipendente, perché è condotta da una terza parte approvata dal governo.
Se pensi di acquistare un prodotto certificato, assicurati di leggere la stampa fine. Le relazioni sulle certificazioni di solito hanno presupposti che devono essere soddisfatti affinché la certificazione sia valida; controlla che queste assunzioni abbiano un senso per te. Inoltre, la certificazione è spesso un modo per spostare la responsabilità: avendo il loro prodotto certificato, il venditore dimostra di aver utilizzato le migliori pratiche, quindi è improbabile che sia in grado di richiedere danni se il loro prodotto risulta essere vulnerabile.
Anche se non si ottiene un prodotto certificato, il profilo di protezione contiene informazioni utili: fornisce una definizione degli obiettivi di sicurezza, un'analisi delle minacce e altri elementi dell'analisi della sicurezza.
Ricorda che un'infrastruttura di sicurezza è strong quanto il suo componente più debole. Una smart card super sicura non ti farà nulla di buono se viene rubata e il PIN è l'anno di nascita dell'utente, oppure se l'utilizzo della carta è una seccatura così tanto che le persone impostano il modo per aggirarlo.
Leggi altre domande sui tag encryption public-key-infrastructure smartcard multi-factor