Al generar el par de claves PKI con una tarjeta inteligente, ¿quién decide si la clave es exportable?

Question

Al generar el par de claves PKI con una tarjeta inteligente, ¿quién decide si la clave es exportable?

#1 de Steffen Ullrich (2 votos)

1

Estoy en el proceso de obtener un certificado de firma de código de una CA que requiere el uso de una tarjeta inteligente para la generación del par de claves PKI. Sin embargo, me gustaría estar en posesión de la clave privada y no depender de un dispositivo físico.

Entonces, aquí surge la pregunta: ¿quién decide si la clave privada es exportable, la implementación del software de la tarjeta inteligente o el solicitante (CA)? Estaba pensando que tal vez podría adquirir una tarjeta inteligente que permita tal cosa.

Le pregunto esto porque estoy tratando de encontrar una manera de obtener mi propia clave privada, en el caso de que PKCS # 11 no sea adecuado en el futuro. No necesito seguridad PKCS # 11.

key-management key-generation smartcard pkcs11

pregunta Chris 14.10.2017 - 13:22

fuente

1 respuesta

Lea otras preguntas en las etiquetas key-management key-generation smartcard pkcs11

¿Puede una CA firmar un certificado PGP? Webauthn diferencias de configuración en Firefox

score 2 · Answer 1

El punto central de una tarjeta inteligente es que su clave privada está protegida contra extracción. Hay formas de crear la clave privada fuera de la tarjeta inteligente y luego importarla en ella, en cuyo caso tiene una copia de seguridad. Pero en su caso, el requisito es que la clave se debe generar en la propia tarjeta, lo que significa que solo se puede utilizar con la tarjeta.

... requiere el uso de una tarjeta inteligente para la generación del par de claves PKI. Sin embargo, me gustaría estar en posesión de la clave privada y no depender de un dispositivo físico ... No necesito seguridad PKCS # 11.

No importa lo que quieras o lo que sientas que necesitas. La CA decidió que los certificados que emite deben estar protegidos adecuadamente contra el uso indebido. Ocurre con frecuencia que las claves de firma de código se roban y se usan incorrectamente para firmar y difundir malware y tener la clave solo en una tarjeta inteligente es una buena protección contra esto.

... en el caso de que PKCS # 11 no sea adecuado en el futuro

PKCS # 11 es un estándar establecido y ampliamente utilizado. Es probable que su certificado de firma de código haya caducado por mucho tiempo antes de que PKCS # 11 quede obsoleto.