Schede PKI - PIN e certificati

La risposta di @discreet fornisce buoni collegamenti, ma voglio aggiungere la mia comprensione.

Senza sapere da quale fornitore hai acquistato la tua PKI, è difficile sapere esattamente cosa stia facendo il PIN, perché a differenza delle carte bancarie EMV, i sistemi PKI aziendali non hanno standard di settore e ogni distributore PKI farà le cose in modo diverso. Quindi ecco la mia risposta ai tuoi due punti in base a come queste solitamente funzionano:

There is a certificate embedded in this card which contains my private key.

Corretto . Di solito la tua smart card PKI dispone di un mini-computer che si accende quando lo colleghi al lettore di schede. Per questo motivo, la tua smart card è più di un dispositivo di archiviazione (come una scheda SD), piuttosto è il proprio computer. Il PC può inviare richieste alla scheda come give me your public key , sign this data , decrypt this data , ecc., La scheda eseguirà l'elaborazione a bordo e invierà i dati. La carta può anche rifiutarsi di fare determinate richieste, come give me your private key .

Una delle operazioni supportate da tutte le smart card è generate a new keypair . La carta genererà una nuova chiave privata (che non lascerà mai la tua carta, se specifichi questa opzione), quindi la chiave pubblica corrispondente sarà restituita al PC per essere trasformata in un certificato da una CA, quindi restituita al carta come certificato per l'archiviazione.

My 6 digit PIN is the key to encrypt my private key

Mostly Correct . Questa è la parte che varia dal produttore. Anche se la chiave privata non lascia mai la carta, non si desidera conservarla in testo in chiaro perché un attaccante attento può rimuovere il chip di memoria flash ed estrarre i dati. Immagino che il tuo PIN a 6 cifre sia allungato in una chiave di crittografia simmetrica che viene utilizzata per crittografare / decodificare la tua chiave privata mentre è in memoria sulla scheda. Ciò significa che fino a quando non gli dai il tuo PIN, anche la carta non può accedere alla tua chiave privata.

Il PIN non viene mai memorizzato da nessuna parte , tranne che nella RAM della scheda mentre è collegato. Quando la scheda si accende, ti chiederà il PIN, se questo ti permette di decifrare correttamente la tua la chiave privata quindi la scheda può andare avanti e fare criptografie, se il PIN che hai dato non produce la chiave privata che corrisponde al certificato (cioè produce immondizia), quindi la carta genererà un Incorrect PIN Error .

-

Un rapido Google mostra che molti venditori di smart card pubblicano sul loro sito web un whitepaper dettagliato su come funzionano le loro smart card. Ti incoraggerei a capire quale produttore produce le tue smart card e a continuare a leggere sul loro sito.

Suppongo che tu stia utilizzando Smart card basate su chip (scheda PKI). La smart card contiene un file system sicuro per l'archiviazione della chiave privata e altre informazioni. Qui contiene alcune informazioni di base sulla smart card.

Il PIN viene utilizzato per crittografare e decrittografare la chiave privata. La chiave privata viene crittografata nella smart card mediante. Quindi, quando provi ad accedere, il PIN viene utilizzato per decrittografare la chiave privata e quindi la chiave privata viene verificata.

Qui è una buona risposta sulla sicurezza basata su chip basata su chip.