El CSP del lado del cliente (el CSP de tarjeta inteligente en este caso) debe admitir el archivo de claves para que funcione el archivo de claves:
Compatibilidad con CSP para operaciones de archivado clave
Para poder transmitir y archivar de forma segura las claves privadas, los CSP en las CA y equipos miembros del dominio deben ser compatibles con el cifrado simétrico y asimétrico. Además, se requiere asistencia para generar claves exportables , ya sea enviando manualmente una solicitud de certificado y seleccionando la opción para permitir la exportación de la clave o utilizando el indicador CRYPT_ARCHIVABLE con la función CryptGenKey durante la generación de claves programáticas.
Fuente: Solución de problemas de archivado y recuperación de claves
La idea de las tarjetas inteligentes (frente al almacenamiento de claves privadas del software) es que la clave privada nunca abandona la tarjeta. Sin embargo, según el autoritario Brian Komar, los CSP de tarjetas inteligentes pueden admitir el indicador CRYPT_ARCHIVABLE:
Si falla una tarjeta inteligente, las claves privadas de cifrado almacenadas en la tarjeta inteligente se pierden. Si el proveedor de servicios criptográficos (CSP) de tarjetas inteligentes admite el archivo de claves (a través de la habilitación del indicador CRYPT_ARCHIVABLE ), la clave privada se archiva en la CA emisora.
Fuente: Libro de seguridad de PKI y certificados de Windows Server 2008
Dicho esto, recomendaría encarecidamente no exportar la clave privada de la tarjeta inteligente en primer lugar, ya que esto socava la seguridad proporcionada por una solución que utiliza tarjetas inteligentes.
No sé cuáles son sus requisitos, pero en términos generales existen dos funciones para los certificados: firma y cifrado.
Si está utilizando el certificado de su tarjeta inteligente para el cifrado de datos, puede que sea mejor archivar o hacer una copia de seguridad de la clave de cifrado simétrica utilizada para cifrar los datos. Esto podría lograrse mediante el uso de un certificado de 'Recuperación de datos' también almacenado en una tarjeta inteligente, que se utiliza para cifrar copias de respaldo de la clave de cifrado simétrica. El sistema de archivos de cifrado de Microsoft heredado es un ejemplo bien documentado de un sistema que funciona de esta manera.
Si está utilizando el certificado de su tarjeta inteligente para la firma (autenticación del cliente, firmas digitales, etc.), le recomendaría nuevamente evitar el archivado de claves por completo:
Las claves privadas que se usan para firmar nunca deben archivarse o recuperarse porque el potencial de que más de una persona posea y use una clave privada introduce problemas de no repudio.
Fuente: Administración y archivo de claves PKI de los Servicios de certificación de Active Directory
