Archiviazione sicura della chiave privata

2

Alla luce di BadUSB, la memorizzazione di chiavi private su una chiavetta USB non è il modo migliore. Che ne dici di scrivere chiavi private su un CD?

Ciò di cui mi preoccupo è che ogni volta che collego il mio dispositivo di archiviazione delle chiavi private alla macchina, si apre la possibilità che qualsiasi processo anomalo possa prendere il sopravvento e rubare i tasti.

Ho una chiave privata utilizzata per crittografare tutte le mie altre password e chiavi. In questo modo ho una sola chiave di cui preoccuparsi per la protezione. ma apre anche un singolo punto di errore.

Come posso memorizzare questa chiave in modo sicuro?

Stavo pensando che un codice QR stampato su carta potrebbe essere un ottimo modo per proteggere con password una chiave privata. Ma poi questo porta a come decodificare in modo sicuro il codice QR e decrittografare la chiave privata.

    
posta thinkblock 29.11.2014 - 03:33
fonte

1 risposta

2

Si desidera esaminare un modulo di sicurezza hardware. Ciò consente di scaricare le chiavi (e l'elaborazione crittografica) in un dispositivo temprato dal quale non è possibile estrarre le chiavi.

I più noti sono quelli di Thales e Safenet e offrono versioni che sono schede PCI locali, collegate localmente (tramite USB) e collegate in rete.

Se hai solo uno o due tasti, puoi anche usare un token USB, che è un piccolo HSM di fascia bassa con un fattore di forma simile a un'unità thumb. Un'altra alternativa è una smart card o CAC, che è il chip di un gettone in una carta in PVC delle stesse dimensioni della patente di guida o della carta del passaporto, o come una carta di credito molto paffuta.

In ognuno di questi casi, dovresti installare un driver e un motore (entrambi sono costrutti software) per accedere al dispositivo. Da qui, non avresti accesso alla chiave e accederai invece tramite l'interfaccia API PKCS # 11 o il CryptoAPI di Windows, che avvolgerebbe la richiesta per avere la crittografia / decrittografia a tuo nome in hardware .

Vorrei anche raccomandare di avere tre di questi dispositivi, dello stesso tipo. Quando si generano e importano le chiavi, fatelo su tutte, quindi testate la stessa stringa con ciascuna e confrontate l'output. Se non corrisponde, attenzione. Il primo è per l'uso online. Il secondo è per il backup near-line (se fosse tascabile, nella tua cassastrong o nella segreteria di chiusura della tua segretaria). L'ultima è la tua copia DR / BC, che dovrebbe rimanere con il tuo avvocato, con istruzioni scritte su quando e a chi può essere rilasciato. In parole semplici, per un periodo di tempo abbastanza lungo, questi dispositivi possono fallire, ma statisticamente è improbabile che tutti falliscano insieme.

    
risposta data 29.11.2014 - 08:05
fonte

Leggi altre domande sui tag