電子メールの暗号化とSSHにスマートカードを使用する

Yubikey Neoには、CCIDインターフェースの提示、カード上のOpenPGPサポートアプリケーション、オープンソースと仕様のU2Fの提供など、非常に多くのオープン/ジェネリックモード（2つ購入したなど）があるため、何をするのかに本当に夢中ですサポート。

最終的に探しているのは、CCID +適切なアプレットを備えたカードだと思います。これにはOpenPGPカードで十分です。

答えは次のようです：JavaCardを使用してください。個々のスマートカードメーカーはすべて独自の暗号管理ソフトウェアを持っていますが、GlobalPlatformを使用してOpenSC互換アプレットを空のJavaCardにロードし、ホワイトボックスPKCS＃11機能を利用できます。

現在、いくつかのJavaCardを購入しています。

私はスマートカードを試していますが、小さなPKIを作成して OpenSC-supported card （私の場合はOpenPGPカードですが、PGP側は問題ではないので）を使用することである程度成功しました。 PKIカードで十分です）。 OpenSCを使用すると、Windows、Mac、Linuxの両方にミドルウェアを提供し、FirefoxやSSHなどの他のほとんどのアプリケーションで使用できるPKCS11モジュールを提供するため、カードはすべての主要なプラットフォームで互換性があります。 Windowsとの互換性を高めるには（たとえば、Internet ExplorerではOpenSCを使用できない）、独自のドライバーを持つOpenSCとの両方でサポートされているカードを用意するのが最善です。 Windowsの場合、CAPIを使用するアプリケーション（Internet Explorer、Outlook、さらにはログイン用）でも使用できます。

まず、認証局を設定します。 このチュートリアルのセット は、クリーンで読み取り可能なOpenSSL構成ファイルを提供します-最初に数日/数週間の実験-安全なPKIの実行は簡単ではなく、多くの予防策を講じる必要があります。中小企業の実稼働環境では、PKIスマートカードを使用してCAの秘密キーも格納することをお勧めします。OpenSCはPKCS11モジュールを提供しており、OpenSSLはそれを利用できます。そのカードを他の貴重な資産の隣の安全な場所に保管し、新しい証書を発行する必要がある場合にのみ持ち出すようにします。可能であれば、他の誰かの存在下で監査証跡を取得し、悪意のある従業員がCAカードを誤用しないようにします。あなたがそのリンクをたどるなら、私は高度な/専門家のチュートリアルを見ることをお勧めします-「シンプルな」ものはCRLやOCSPのような重要な部分が欠けているように思われるかもしれませんが、証明書を取り消す必要がある場合は間違いなくそれらを必要とします（カード紛失） /盗難、解雇された従業員など）。

CAをセットアップしたら、カードを初期化し、PINを変更してキーを生成し（OpenSCのドキュメントを参照）、CSRを生成し（OpenSC自体にはこのためのツールが提供されていないため、OpenSC PKCS11モジュールでOpenSSLを使用）、署名します。あなたのCAと一緒に。最後に、結果として得られた証明書をカードに入れれば、準備は完了です。

ただし、スマートカードを使用する場合、電子メールの暗号化では、モバイルデバイスまたはカードリーダーを備えていないデバイスでは、従業員はメールを復号化できません（外部で秘密キーを生成しない限り）。カードのそれからそれらを電話でそれをインポートすることを許可しますが、キーがマルウェアを使用して静かに盗まれることができるのでそれはカードの主な利点を無効にします）。