Quando si genera una coppia di chiavi PKI con una smart card, chi decide se la chiave è esportabile?

Question

Quando si genera una coppia di chiavi PKI con una smart card, chi decide se la chiave è esportabile?

#1 da (2 voti)

1

Sono in procinto di ottenere un certificato di firma del codice da una CA che richiede l'uso di una smart card per la generazione della coppia di chiavi PKI. Tuttavia, mi piacerebbe essere in possesso della chiave privata e non dipendere da un dispositivo fisico.

Quindi ecco la domanda, chi decide se la chiave privata è esportabile, l'implementazione del software per smart card o il richiedente (CA)? Stavo pensando che forse potrei acquistare una smart card che permetta una cosa del genere.

Chiedo questo perché sto cercando di trovare un modo per entrare in possesso della mia chiave privata, nell'eventualità che PKCS # 11 non sia adatto in futuro. Non ho bisogno della sicurezza PKCS # 11.

key-management key-generation smartcard pkcs11

posta Chris 14.10.2017 - 13:22

fonte

1 risposta

Leggi altre domande sui tag key-management key-generation smartcard pkcs11

Perché toccare un messaggio con questo testo congela il telefono? risultati nmap dopo l'eliminazione del firewall

score 2 · Answer 1

L'intero punto di una smart card è che la chiave privata è protetta contro l'estrazione. Ci sono modi per creare la chiave privata al di fuori della smart card e quindi importarla in esso, nel qual caso si dispone di un backup. Ma nel tuo caso il requisito è che la chiave debba essere generata sulla carta stessa, il che significa che può essere utilizzata solo con la carta.

... requires the use of a smart card for the generation of the PKI key pair. However, I would like to be in the possession of the private key, and not depend on a physical device... I don't need PKCS #11 security.

Non importa ciò che vuoi o ciò che senti di aver bisogno. L'AC ha deciso che i certificati emessi devono essere adeguatamente protetti contro l'uso improprio. Succede regolarmente che le chiavi di firma del codice vengano rubate e utilizzate in modo improprio per firmare e diffondere malware e avere la chiave solo su una smart card è una buona protezione contro questo.

... in the event PKCS #11 is not suitable in the future

PKCS # 11 è uno standard consolidato e ampiamente utilizzato. È probabile che il certificato di firma del codice sia scaduto a lungo prima che PKCS # 11 diventi obsoleto.