Si desidera esaminare un modulo di sicurezza hardware. Ciò consente di scaricare le chiavi (e l'elaborazione crittografica) in un dispositivo temprato dal quale non è possibile estrarre le chiavi.
I più noti sono quelli di Thales e Safenet e offrono versioni che sono schede PCI locali, collegate localmente (tramite USB) e collegate in rete.
Se hai solo uno o due tasti, puoi anche usare un token USB, che è un piccolo HSM di fascia bassa con un fattore di forma simile a un'unità thumb. Un'altra alternativa è una smart card o CAC, che è il chip di un gettone in una carta in PVC delle stesse dimensioni della patente di guida o della carta del passaporto, o come una carta di credito molto paffuta.
In ognuno di questi casi, dovresti installare un driver e un motore (entrambi sono costrutti software) per accedere al dispositivo. Da qui, non avresti accesso alla chiave e accederai invece tramite l'interfaccia API PKCS # 11 o il CryptoAPI di Windows, che avvolgerebbe la richiesta per avere la crittografia / decrittografia a tuo nome in hardware .
Vorrei anche raccomandare di avere tre di questi dispositivi, dello stesso tipo. Quando si generano e importano le chiavi, fatelo su tutte, quindi testate la stessa stringa con ciascuna e confrontate l'output. Se non corrisponde, attenzione. Il primo è per l'uso online. Il secondo è per il backup near-line (se fosse tascabile, nella tua cassastrong o nella segreteria di chiusura della tua segretaria). L'ultima è la tua copia DR / BC, che dovrebbe rimanere con il tuo avvocato, con istruzioni scritte su quando e a chi può essere rilasciato. In parole semplici, per un periodo di tempo abbastanza lungo, questi dispositivi possono fallire, ma statisticamente è improbabile che tutti falliscano insieme.