No usaría ese enfoque. Cuando monte una unidad USB, lea un archivo desde ella, etc., todo tipo de copias de esos datos podrían terminar en la memoria del sistema operativo, los registros, etc. Estará luchando una ardua batalla para hacer esto seguro, especialmente si el atacante tiene la capacidad de tomar volcados de memoria del servidor, o plantar malware en el servidor.
Un mejor enfoque sería utilizar algún tipo de módulo criptográfico de hardware USB para que el servidor nunca tenga que tocar las claves privadas. La idea es que las claves criptográficas vivan en el dispositivo criptográfico y nunca las dejen, usted envía los datos que desea cifrar / descifrar al dispositivo, realiza la operación criptográfica por usted y devuelve los resultados.
Con este enfoque, se garantiza que no existan cachés de la clave privada en el servidor porque el servidor nunca lo tocó en primer lugar, y si extrae el dispositivo USB, el servidor pierde la capacidad de realizar operaciones criptográficas. que creo que es lo que quieres.
Algunas tecnologías / términos de búsqueda que puede buscar incluyen:
- tarjeta inteligente USB
- ficha criptográfica
- token PKCS # 11
- TPM (módulo de plataforma confiable)
- HSM (módulo de seguridad de hardware)
Es posible que desee buscar soluciones basadas en hardware como tarjetas inteligentes USB, TPM o HSM ligeros donde se realiza la criptografía en el dispositivo para que el servidor nunca toque la tecla.