Supongamos que tengo una pequeña organización, cada usuario tiene una Macbook Pro reciente, puede comprar un lector de tarjetas inteligentes de aproximadamente $ 25 en Amazon, y quiero usar pares de llaves donde las claves privadas están en tarjetas inteligentes personales para realizar el cifrado de correo electrónico y la autenticación SSH .
Parece que la mayoría de estos lectores están orientados hacia la infraestructura del DOD CAC o Federal PIV. No necesito integrarme con estas cosas, quiero ser propietario de la CA raíz o simplemente poner manualmente las claves públicas de todos en algún tipo de directorio.
¿Cuáles son los diferentes tipos de tarjetas inteligentes disponibles en el mercado y qué debo mantener (o evitar) para que algo funcione de manera confiable a pequeña escala utilizando software de código abierto? Parece que los muchos proveedores tienen diferentes implementaciones y no está claro qué tan interoperables son (si es que todos) están fuera de su software empresarial basado en Windows.
Básicamente, estoy buscando hacer algo similar a lo que hace Yubikey Neo, pero con tarjetas genéricas (idealmente con múltiples proveedores) y lectores. Entiendo que las recomendaciones de productos específicos están fuera de tema, solo busco un resumen de qué palabras buscar / buscar para encontrar tarjetas que puedan usarse para este propósito.
Términos que he encontrado:
-
ISO7816 parece ser una interfaz eléctrica estándar, pero no estoy seguro de si esto significa que todas las tarjetas y lectores compatibles con ISO7816 son interoperables a nivel de software.
-
CCID parece ser un protocolo estándar superpuesto en USB para la comunicación con lectores de tarjetas.
-
PKCS # 11 y PCKS # 15 parecen ser primitivos de cifrado de clave pública de alto nivel que, por ejemplo, Thunderbird puede consumir desde una tarjeta inteligente.
¿Puedo usar tarjetas y lectores ISO7816 compatibles con CCID e ISO7816, o hay más que eso?