Pin requerido para acceder a la ranura de autenticación de tarjeta (tarjeta inteligente)

Question

Pin requerido para acceder a la ranura de autenticación de tarjeta (tarjeta inteligente)

#1 de CGretski (0 votos)

9

Así que déjame poner el escenario:

He creado un Certificado de firma intermedia a través del tutorial de Yubico: enlace

Hice un par de cambios, en lugar de la ranura de firma digital, utilicé la ranura de autenticación de tarjeta. El motivo es que, según la especificación y la documentación de Yubikey, aparece:

Este certificado y su clave privada asociada se utilizan para admitir aplicaciones de acceso físico adicionales, tales como proporcionar Acceso a edificios a través de cerraduras de puertas habilitadas para PIV. El PIN del usuario final es NO es necesario realizar operaciones de clave privada para esta ranura.

Así que parece genial, sin embargo, para interactuar con esta ranura, mi configuración de openssl / pkcs11 requiere un PIN de todos modos. Simplemente podría incluir el PIN en cualquier interacción con scripts con la CA, pero esto no parece correcto.

¿Alguien ha experimentado esto y ha trabajado alrededor de esto?

public-key-infrastructure smartcard yubikey

pregunta Ori 28.11.2016 - 07:33

fuente

1 respuesta

Lea otras preguntas en las etiquetas public-key-infrastructure smartcard yubikey

Cómo proteger la API (clave privada) para aplicaciones móviles iPhone 5/6 RAM de seguridad

score 0 · Answer 1

El único propósito de una CA es emitir firmas digitales, específicamente para firmar las claves públicas de los certificados subordinados; Elegir una función clave que no sea la "firma digital" es contrario a este propósito.

¿No debería tener el certificado CA en la ranura de firma digital y luego un certificado subordinado (en el que confía el dispositivo EAPOL) en la ranura de autenticación de tarjeta?