PGP暗号化と復号化にRSAキーペアを使用する

PGPについては知りませんが、GPGはスマートカード（場合によってはさらに興味深いPKCS＃11 USBトークン）を使用して秘密鍵を保護できます。

http://www.gnupg.org/howtos/card-howto/en/smartcard-howto-single.html

HSMを使用する手間がかかる場合は、専用のキーパッドを使用することを検討する必要があります。そうでなければ、保護はほとんど役に立ちません。

これをITセキュリティ部門に知らせたい場合もあります： http://secgroup.ext.dsi.unive.it/projects/security-apis/pkcs11-security/tookan/

彼らはACM CCS 2010でこの問題を説明する論文を持っています。

PGPキー以外のPGPでは何も使用できません。一部の機能は証明書とS/MIMEキーでも機能しますが、すべてではありません（たとえば、追加の復号化キーは機能しません）。これを知らずに購入していないことを願っています。

ただし、キー生成時のPGPとPGP Universalでポリシー設定としてRSAアルゴリズムを設定できます。

一部 教訓 組織でのPGP電子メール暗号化の実装

RSA証明書を使用している場合は、cms（PCCS＃7およびs/mimeから発展）を使用する必要があります。これはopensslでサポートされています。 http://www.openssl.org/docs/apps/cms.html

ファイルに署名して暗号化するには：

openssl cms –encrypt –text –in compressed-file.txt –out encrypted-file.txt public-key.pem

次に、ファイルの内容に署名します。

openssl cms –sign –text –in encrypted-file.Zip –signer certificate.pem –inkey certtificate.key –out signed-file.txt

確認して復号化するには：

openssl cms –verify –in file –signer certificate.pem 

検証が成功した場合、ファイルの内容を復号化できます。

openssl cms –decrypt –in file –inkey private-key.pem –out decrypted-file

HSM AFAIKにキーをインポートすることはできません。これらは、暗号化された重要なデータの暗号化オンボード生成/保存/使用を実行するように設計されたデバイスです。秘密鍵をHSMにインポートできると、HSM自体の目的が無効になります。

バックアップ手順はあると思いますが。しかし、私はHSMカードを手にしたことがありませんでした（私が持っていればいいのに：P）。暗号化されていない情報をHSMからエクスポートすることもできません。

しかし、あなたの言うとおり、2048長のRSA鍵が埋め込まれています（2010年以降のNIST推奨）。

Wikipedia で入手できる情報のほとんど