Quieres investigar un Módulo de Seguridad de Hardware. Esto descarga las claves (y el procesamiento criptográfico) a un dispositivo endurecido del cual no se pueden extraer las claves.
Los más conocidos son de Thales y Safenet, y ofrecen versiones que son placas PCI locales, conectadas localmente (a través de USB) y conectadas a la red.
Si solo tiene una o dos teclas, también puede usar un token USB, que es un HSM pequeño y de gama baja en un factor de forma similar a una unidad de disco USB. Otra alternativa es una tarjeta inteligente o CAC, que es el chip de un token en una tarjeta de PVC del mismo tamaño que una licencia de conducir o tarjeta de pasaporte, o como una tarjeta de crédito muy gordita.
En cualquiera de estos casos, debería instalar un controlador y un motor (ambos son construcciones de software) para acceder al dispositivo. Desde aquí, no tendría acceso a la clave y, en su lugar, accedería a ella a través de la interfaz PKCS # 11 API o la CryptoAPI de Windows, que envolvería la solicitud para tener el cifrado / descifrado en su nombre en hardware .
También recomendaría tener tres de estos dispositivos, del mismo tipo. Cuando genere e importe las claves, hágalo en todas ellas, y luego pruebe encriptando la misma cadena con cada una y compare la salida. Si no coincide, ten cuidado. El primero es para uso en línea. El segundo es para copias de seguridad cercanas a la línea (si fuera de bolsillo, en su caja fuerte o en el gabinete de seguridad de su secretaria). La última es su copia de DR / BC, y debe permanecer con su abogado, con instrucciones escritas sobre cuándo y a quién se puede divulgar. En pocas palabras, durante un tiempo suficientemente largo, estos dispositivos pueden fallar, pero estadísticamente es poco probable que todos falle juntos.