Esiste un'API WebCrypto nei browser. Consente ai clienti di firmare i dati . Tuttavia, mi sembra che non impedisca alla pagina web di accedere alla chiave privata.
Dopo che la chiave è stata generata, può essere contrassegnata come non estraibile e può essere salvata nell'API IndexedDb.
Come generare la chiave, che è chiaro per il cliente che la pagina web non ha potuto accedere alla chiave privata durante la generazione?
Ad esempio, la pagina Web può generare una chiave estraibile e quindi importarla come non estraibile e inviare la chiave privata al server, che ha servito la pagina Web.
(È possibile garantire questo senza add-on proprietari?)