Al generar el par de claves PKI con una tarjeta inteligente, ¿quién decide si la clave es exportable?

1

Estoy en el proceso de obtener un certificado de firma de código de una CA que requiere el uso de una tarjeta inteligente para la generación del par de claves PKI. Sin embargo, me gustaría estar en posesión de la clave privada y no depender de un dispositivo físico.

Entonces, aquí surge la pregunta: ¿quién decide si la clave privada es exportable, la implementación del software de la tarjeta inteligente o el solicitante (CA)? Estaba pensando que tal vez podría adquirir una tarjeta inteligente que permita tal cosa.

Le pregunto esto porque estoy tratando de encontrar una manera de obtener mi propia clave privada, en el caso de que PKCS # 11 no sea adecuado en el futuro. No necesito seguridad PKCS # 11.

    
pregunta Chris 14.10.2017 - 13:22
fuente

1 respuesta

2

El punto central de una tarjeta inteligente es que su clave privada está protegida contra extracción. Hay formas de crear la clave privada fuera de la tarjeta inteligente y luego importarla en ella, en cuyo caso tiene una copia de seguridad. Pero en su caso, el requisito es que la clave se debe generar en la propia tarjeta, lo que significa que solo se puede utilizar con la tarjeta.

  

... requiere el uso de una tarjeta inteligente para la generación del par de claves PKI. Sin embargo, me gustaría estar en posesión de la clave privada y no depender de un dispositivo físico ... No necesito seguridad PKCS # 11.

No importa lo que quieras o lo que sientas que necesitas. La CA decidió que los certificados que emite deben estar protegidos adecuadamente contra el uso indebido. Ocurre con frecuencia que las claves de firma de código se roban y se usan incorrectamente para firmar y difundir malware y tener la clave solo en una tarjeta inteligente es una buena protección contra esto.

  

... en el caso de que PKCS # 11 no sea adecuado en el futuro

PKCS # 11 es un estándar establecido y ampliamente utilizado. Es probable que su certificado de firma de código haya caducado por mucho tiempo antes de que PKCS # 11 quede obsoleto.

    
respondido por el Steffen Ullrich 14.10.2017 - 13:56
fuente

Lea otras preguntas en las etiquetas