Esistono dispositivi di crittografia hardware disponibili in commercio tramite USB? [chiuso]

3

Sto progettando un sistema in cui una combinazione di hardware e software (chiamiamola un'appliance ...) invia all'archivio sicuro asincrono il cloud. Con sicurezza, intendo, AES-256 crittografato, con chiave AES e IV crittografato con chiave pubblica RSA-2048. Potrebbero esserci diverse di queste appliance, ciascuna con la stessa chiave pubblica RSA. Non importa.

Voglio che la decrittografia si verifichi quando l'utente si trova di fronte a un disastro e vuole recuperare i suoi archivi. Per disastro, voglio dire, il suo computer potrebbe essere stato bruciato, o rubato, o potrebbe essere stata costretta a spostarsi rapidamente, qualcosa del genere.

In questo caso, voglio qualcosa di facile da usare, facile da trasportare, facile da memorizzare. Una chiave USB suona alla grande. Ma non voglio che nessun malware sia in grado di leggere la chiave privata RSA ogni volta che questo dispositivo viene messo in un computer potenzialmente pericoloso.

La mia ipotesi è che ci dovrebbe essere qualche soluzione disponibile in commercio, che faccia quanto segue:

  • È stato scritto in fabbrica una chiave privata RSA-2048 nei miei locali (non nel venditore)
  • Non renderà mai visibile la chiave su USB come sarebbe un semplice file di chiave pubblica RSA su una chiavetta USB
  • Prenderà i dati crittografati, decrittografarli e restituirli decrittografati

Punti bonus:

  • È compatibile con Java almeno su Mac e Windows
  • Utilizza password configurabile per proteggere ulteriormente la chiave
  • (forse ...) fa tutto ciò di cui ho bisogno direttamente nel mio protocollo (decifratura dei tasti AES, AES un ciphering ...)
posta mathieubolla 05.06.2014 - 12:08
fonte

3 risposte

1

Poiché Bruno Rohée ha scritto, è probabile che tu voglia una qualche forma di smartcard confezionata come chiave USB. Questa smartcard potrebbe contenere un'applicazione pronta per l'uso che si integra con PKCS # 11 o un'applicazione specifica per le tue esigenze specifiche. In quest'ultimo caso, è possibile utilizzare una smart card basata su tecnologia Java Card e scrivere la propria applet Java Card che gestisce la chiave e la crittografia.

Per quanto riguarda il tuo elenco dei requisiti:

  • Le smartcard, se accessibili tramite PC / SC, si integrano perfettamente con Java su Windows (e principalmente anche su Mac, anche se ciò potrebbe risultare un po 'più doloroso) tramite l'API IO Smartcard Java.

  • La maggior parte delle smartcard (in particolare quelle basate su Java Card) hanno funzionalità incorporate per i codici PIN, ma suppongo che scrivendo la tua applet potresti creare praticamente qualsiasi autenticazione utente basata su segreto conosciuto.

  • Le smartcard solitamente supportano la crittografia / decrittografia simmetrica su scheda. Se è possibile fare l'intera simmetria di crittografia / decifrazione su scheda (o se si utilizza solo la scheda per codificare / decrittografare le chiavi per la crittografia simmetrica) in genere dipende dalla quantità di dati che si desidera crittografare / decrittografare. Le prestazioni e la comunicazione con una smartcard sono in genere molto lente rispetto a quelle eseguite sul PC.

Un prodotto che mi viene in mente è Yubikey Neo . Viene fornito con un fattore di forma della chiave USB (con interfaccia contactless aggiuntiva), può essere configurato per essere accessibile tramite PC / SC, viene fornito con varie applicazioni crittografiche pre-caricate e su di esso è possibile caricare le proprie applicazioni Java Card. Per quanto ho scoperto dovrebbe supportare RSA-2048 e almeno AES a 128 bit.

    
risposta data 13.06.2014 - 18:01
fonte
0

È probabile che tu desideri una smartcard compatibile con PKCS # 11 o una smart card reader + smart come una chiave USB.

Ho un'esperienza passata con Gemalto che ha ottenuto un'offerta ampia e confusa, al punto che probabilmente avrai bisogno del loro aiuto per navigare ... Non sono abbastanza aggiornato su chi potrebbe essere la competizione ...

Il link potrebbe adattarsi al conto o, in caso contrario, un prodotto secondario ...

    
risposta data 05.06.2014 - 15:40
fonte
0

Uno dei maggiori attori in questo campo (commerciale e governativo, per varie soluzioni) è ActivID, che ora è di proprietà di HID. Come affermato da altri, il tipo di dispositivo smartcard PKCS # 11, tramite interfaccia USB, è probabilmente un buon candidato per la tua query.

link

So per esperienza diretta che aziende come HP e Agilent hanno utilizzato questi tipi di soluzioni da ActivID in passato. (Non è un'approvazione, non lavoro o rappresento nessuna delle due società. Ho appena visto i dispositivi in uso.)

    
risposta data 13.06.2014 - 18:08
fonte