Una chiave privata dovrebbe essere protetta da una password anche se il software che lo utilizza ha bisogno di conoscere quella password?

1

Abbiamo un dispositivo integrato che esegue un server web. Quel server web utilizza HTTPS e quindi ha un certificato privato incorporato nel dispositivo. Al momento non siamo sicuri se questa chiave privata debba essere protetta da password poiché quella password dovrà essere incorporata sullo stesso dispositivo in alcuni punti. In caso contrario, anche il server Web non sarà in grado di caricare la chiave.

Detto questo, dovremmo aggiungere ancora quel livello di protezione extra sottile aggiungendo sulla passphrase la chiave privata?

Grazie

    
posta Francois 12.12.2014 - 16:40
fonte

1 risposta

1

Se il dispositivo ha un modo per mantenere la password separata dal file chiave (come nel firmware) eviterà l'abuso quando qualcuno può copiare il file chiave dal dispositivo. Se la password risiede in uno script o in un file di configurazione, non aggiunge molto.

    
risposta data 12.12.2014 - 17:05
fonte

Leggi altre domande sui tag