tarjetas PKI - PIN y certificados

La respuesta de @discreet proporciona buenos enlaces, pero quiero agregar mi entendimiento.

Sin saber de qué proveedor compró su PKI, es difícil saber exactamente qué hace el PIN en su interior, porque a diferencia de las tarjetas bancarias EMV, los sistemas PKI empresariales no tienen estándares de la industria y cada proveedor de PKI hará las cosas de manera diferente. Así que aquí está mi respuesta a sus dos puntos en función de cómo funcionan estas cosas normalmente :

  

Hay un certificado incrustado en esta tarjeta que contiene mi clave privada.

Correcto . Por lo general, su tarjeta inteligente PKI tendrá una mini computadora que se encenderá cuando la conecte al lector de tarjetas. Por esta razón, su tarjeta inteligente es más que un dispositivo de almacenamiento (como una tarjeta SD), es su propia computadora. Su PC puede enviar solicitudes a la tarjeta como give me your public key , sign this data , decrypt this data , etc., la tarjeta realizará el procesamiento a bordo y enviará los datos de vuelta. La tarjeta puede incluso negarse a hacer ciertas solicitudes, como give me your private key .

Una de las operaciones que admiten todas las tarjetas inteligentes es generate a new keypair . La tarjeta generará una nueva clave privada (que nunca abandonará su tarjeta, si especifica esa opción), luego la clave pública correspondiente se pasará de nuevo a la PC para que CA la convierta en un certificado y luego se la devuelva a la PC. Tarjeta como certificado de almacenamiento.

  

Mi PIN de 6 dígitos es la clave para cifrar mi clave privada

Mayormente correcto . Esta es la parte que varía según el fabricante. A pesar de que la clave privada nunca abandona la tarjeta, todavía no desea almacenarla en texto sin formato porque un atacante cuidadoso puede eliminar el chip de memoria flash y extraer los datos. Supongo que su PIN de 6 dígitos se estira en una clave de cifrado simétrica que se utiliza para cifrar / descifrar su clave privada mientras está almacenada en la tarjeta. Esto significa que, hasta que le des su PIN, incluso la tarjeta no podrá acceder a su clave privada.

El PIN nunca se almacena en ningún lugar , excepto en la memoria RAM de la tarjeta mientras está enchufada. Cuando la tarjeta se encienda, solicitará su PIN, si eso le permite descifrar correctamente la clave privada entonces la tarjeta puede seguir adelante y hacer cosas criptográficas, si el PIN que dio no produce la clave privada que coincide con el certificado (es decir, produce basura), entonces la tarjeta arrojará un Incorrect PIN Error .

-

Un rápido Google muestra que muchos proveedores de tarjetas inteligentes publican en su sitio web un informe detallado sobre cómo funcionan sus tarjetas inteligentes. Le animo a que descubra qué proveedor fabrica sus tarjetas inteligentes y continúe leyendo en su sitio.

Supongo que está utilizando tarjetas inteligentes basadas en chip (tarjeta PKI). La tarjeta inteligente contiene un sistema de archivos seguro para almacenar su clave privada y otra información. Aquí hay información básica sobre la tarjeta inteligente.

El PIN se utiliza para cifrar y descifrar la clave privada. La clave privada se cifra en la tarjeta inteligente mediante. Entonces, cuando intenta iniciar sesión, el PIN se utiliza para descifrar la clave privada y luego se verifica la clave privada.

Aquí es una buena respuesta sobre la seguridad de la tarjeta inteligente basada en chip.