¿Hay dispositivos de cifrado de hardware disponibles comercialmente a través de USB? [cerrado]

3

Estoy diseñando un sistema en el que una combinación de hardware y software (llamémoslo un dispositivo ...) envía un archivado seguro asíncrono a la nube. Por seguridad, quiero decir, AES-256 encriptado, con clave AES e IV encriptados por la clave pública RSA-2048. Puede haber varios dispositivos de este tipo, cada uno con la misma clave pública RSA. No importa.

Quiero que el descifrado se produzca cuando el usuario se enfrente a un desastre y quiera recuperar sus archivos. Por desastre, quiero decir, su computadora pudo haber sido quemada o robada, o podría haberse visto obligada a moverse rápidamente, algo así.

En este caso, quiero algo fácil de usar, fácil de transportar, fácil de almacenar. Una llave USB suena muy bien. Pero no quiero que ningún malware pueda leer la clave RSA privada cada vez que este dispositivo se coloque en una computadora potencialmente insegura.

Supongo que debería existir alguna solución disponible comercialmente, que haga lo siguiente:

  • ¿La fábrica escribe una clave privada RSA-2048 en mis instalaciones (no el proveedor)?
  • Nunca hará que la clave sea visible a través de USB como lo haría un archivo de clave pública simple RSA en una unidad de memoria USB
  • Tomará los datos cifrados, los descifrará y los devolverá descifrados

Puntos de bonificación:

  • Es compatible con Java en al menos Mac y Windows
  • Toma una contraseña configurable para proteger aún más la clave
  • (quizás ...) hace todo lo que necesito en mi protocolo directamente (descifrado de clave AES, cifrado AES ...)
pregunta mathieubolla 05.06.2014 - 12:08
fuente

3 respuestas

1

Como escribió Bruno Rohée , es probable que desee algún tipo de tarjeta inteligente empaquetada como llave USB. Esta tarjeta inteligente puede contener una aplicación lista para usar que se integra con PKCS # 11 o una aplicación que sea específica para sus necesidades específicas. En este último caso, podría usar alguna tarjeta inteligente basada en la tecnología Java Card y escribir su propio applet de Java Card que administra su clave y criptografía.

Con respecto a su lista de requisitos:

  • Las tarjetas inteligentes, si son accesibles a través de PC / SC, se integran bastante bien con Java en Windows (y en su mayoría también en Mac, aunque esto podría ser un poco más doloroso) a través de la API de E / S de tarjetas inteligentes de Java.

  • La mayoría de las tarjetas inteligentes (especialmente las basadas en tarjetas Java) tienen funcionalidades integradas para los códigos PIN, pero supongo que si escribes tu propio applet podrías crear prácticamente cualquier autenticación de usuario basada en secretos conocidos.

  • Las tarjetas inteligentes generalmente admiten el cifrado / descifrado simétrico en la tarjeta. Si es factible hacer todo el cifrado / descifrado simétrico en la tarjeta (o si solo usa la tarjeta para cifrar / descifrar claves para la criptografía simétrica), normalmente dependerá de la cantidad de datos que desee cifrar / descifrar. El rendimiento y la comunicación con una tarjeta inteligente suelen ser muy lentos en comparación con hacerlo en el lado de la PC.

Un producto que me viene a la mente es Yubikey Neo . Se presenta en un factor de forma de llave USB (con interfaz sin contacto adicional), se puede configurar para ser accesible a través de PC / SC, viene con varias aplicaciones criptográficas precargadas y puede cargar sus propias aplicaciones de tarjeta Java en ella. Por lo que supe, debería ser compatible con RSA-2048 y al menos AES de 128 bits.

    
respondido por el Michael Roland 13.06.2014 - 18:01
fuente
0

Es probable que desee una tarjeta inteligente compatible con PKCS # 11, o una tarjeta lectora + lectora empaquetada como una llave USB.

Tengo experiencia previa con Gemalto, que recibió una oferta grande y confusa, hasta el punto de que probablemente necesite su ayuda para navegar ... No estoy muy al tanto de quién puede ser la competencia ...

enlace puede ajustarse a la factura, o si no es un producto asociado ...

    
respondido por el Bruno Rohée 05.06.2014 - 15:40
fuente
0

Uno de los jugadores más importantes en este campo (comercial y gubernamental, para varias soluciones) es ActivID, que ahora es propiedad de HID. Según lo indicado por otros, es probable que el tipo de dispositivo de tarjeta inteligente PKCS # 11, a través de la interfaz USB, sea un buen candidato para su consulta.

enlace

Sé por observación directa y experiencia que compañías como HP y Agilent han usado este tipo de soluciones de ActivID en el pasado. (No es un respaldo, no trabajo ni represento a ninguna de las compañías. Acabo de ver los dispositivos en uso).

    
respondido por el 0xSheepdog 13.06.2014 - 18:08
fuente

Lea otras preguntas en las etiquetas