Tengo un buen conocimiento de la criptografía X509, etc., de mi carrera en la industria de las tarjetas inteligentes. Por lo tanto, sé que el esquema de tarjeta (por ejemplo, Visa, MasterCard) es el más alto nivel de confianza: firman claves de emisor para su posterior diversificación y uso en los rangos de tarjetas inteligentes, y el emisor luego firma claves de tarjeta individuales, por lo que la cadena de confianza es presente.
Sin embargo, mi pregunta se relaciona con algo un poco diferente. He desarrollado una aplicación, que quiero colocar bajo algún control de licencias. He desarrollado mi propia base de datos para almacenar información de usuarios y licencias, y todas las claves distribuidas se cifrarán con una clave 3DES de 192 bits, descifrable solo por el servidor.
Tengo un cliente / servidor WCF configurado, y ahora estoy a punto de tener que resolver mi respuesta a la aplicación cliente, que contendrá los detalles de la licencia autenticada, firmada por mi clave privada para su autenticidad. Así que necesito tener la clave pública disponible para esa aplicación cliente.
Puedo obtener un certificado SSL para el sitio web al que se conecta la aplicación cliente. Por lo tanto, mi pregunta es si mi aplicación podría hacer uso de esa clave pública, o si debería crear un nuevo par de claves, firmado por el certificado SSL de mi sitio web, que me proporcione una clave por separado para usar para la autenticación de esta aplicación.
También: ¿debería distribuirse la clave pública con la aplicación, como un archivo instalable? Mientras escribo esto, estoy pensando que probablemente sea necesario, ya que necesito permitir registros fuera de línea.