Schede PKI - PIN e certificati

1

La mia azienda ha introdotto un PKI alcuni mesi fa. Ora siamo in grado di accedere ai nostri laptop con le nostre credenziali di Windows o con una smart card PKI più un PIN numerico a 6 cifre. A parte ciò, possiamo anche crittografare e firmare le e-mail.

La mia comprensione (Correggere se ho torto):

  • C'è un certificato incorporato in questa carta che contiene la mia chiave privata.
  • Il mio PIN a 6 cifre è la chiave per crittografare la mia chiave privata

Quello che non capisco è dove viene memorizzato il PIN della smart card e che tipo di misure di sicurezza sono in atto per evitare che qualcuno possa indovinare o recuperare il mio PIN in un laboratorio o qualcosa del genere.

    
posta Mike Ounsworth 11.08.2015 - 09:57
fonte

2 risposte

3

La risposta di @discreet fornisce buoni collegamenti, ma voglio aggiungere la mia comprensione.

Senza sapere da quale fornitore hai acquistato la tua PKI, è difficile sapere esattamente cosa stia facendo il PIN, perché a differenza delle carte bancarie EMV, i sistemi PKI aziendali non hanno standard di settore e ogni distributore PKI farà le cose in modo diverso. Quindi ecco la mia risposta ai tuoi due punti in base a come queste solitamente funzionano:

There is a certificate embedded in this card which contains my private key.

Corretto . Di solito la tua smart card PKI dispone di un mini-computer che si accende quando lo colleghi al lettore di schede. Per questo motivo, la tua smart card è più di un dispositivo di archiviazione (come una scheda SD), piuttosto è il proprio computer. Il PC può inviare richieste alla scheda come give me your public key , sign this data , decrypt this data , ecc., La scheda eseguirà l'elaborazione a bordo e invierà i dati. La carta può anche rifiutarsi di fare determinate richieste, come give me your private key .

Una delle operazioni supportate da tutte le smart card è generate a new keypair . La carta genererà una nuova chiave privata (che non lascerà mai la tua carta, se specifichi questa opzione), quindi la chiave pubblica corrispondente sarà restituita al PC per essere trasformata in un certificato da una CA, quindi restituita al carta come certificato per l'archiviazione.

My 6 digit PIN is the key to encrypt my private key

Mostly Correct . Questa è la parte che varia dal produttore. Anche se la chiave privata non lascia mai la carta, non si desidera conservarla in testo in chiaro perché un attaccante attento può rimuovere il chip di memoria flash ed estrarre i dati. Immagino che il tuo PIN a 6 cifre sia allungato in una chiave di crittografia simmetrica che viene utilizzata per crittografare / decodificare la tua chiave privata mentre è in memoria sulla scheda. Ciò significa che fino a quando non gli dai il tuo PIN, anche la carta non può accedere alla tua chiave privata.

Il PIN non viene mai memorizzato da nessuna parte , tranne che nella RAM della scheda mentre è collegato. Quando la scheda si accende, ti chiederà il PIN, se questo ti permette di decifrare correttamente la tua la chiave privata quindi la scheda può andare avanti e fare criptografie, se il PIN che hai dato non produce la chiave privata che corrisponde al certificato (cioè produce immondizia), quindi la carta genererà un Incorrect PIN Error .

-

Un rapido Google mostra che molti venditori di smart card pubblicano sul loro sito web un whitepaper dettagliato su come funzionano le loro smart card. Ti incoraggerei a capire quale produttore produce le tue smart card e a continuare a leggere sul loro sito.

    
risposta data 12.08.2015 - 17:00
fonte
2

Suppongo che tu stia utilizzando Smart card basate su chip (scheda PKI). La smart card contiene un file system sicuro per l'archiviazione della chiave privata e altre informazioni. Qui contiene alcune informazioni di base sulla smart card.

Il PIN viene utilizzato per crittografare e decrittografare la chiave privata. La chiave privata viene crittografata nella smart card mediante. Quindi, quando provi ad accedere, il PIN viene utilizzato per decrittografare la chiave privata e quindi la chiave privata viene verificata.

Qui è una buona risposta sulla sicurezza basata su chip basata su chip.

    
risposta data 11.08.2015 - 10:36
fonte

Leggi altre domande sui tag