web-dev-qa-db-ja.com

スマートカードでPKIキーペアを生成する場合、キーがエクスポート可能かどうかはだれが決定しますか?

PKIキーペアの生成にスマートカードを使用する必要があるCAからコード署名証明書を取得中です。ただし、私は秘密鍵を所有し、物理的なデバイスに依存しないことを望みます。

では、秘密鍵をエクスポート可能にするか、スマートカードソフトウェアの実装にするか、リクエスタ(CA)にするかはだれが決めるのでしょうか。そういうことができるスマートカードが買えるかなと思っていました。

これは、将来PKCS#11が適さなくなった場合に備えて、自分の秘密鍵を取得する方法を見つけようとしているためです。 PKCS#11セキュリティは必要ありません。

1
Chris

スマートカードの要点は、それらの秘密キーが抽出から保護されていることです。スマートカードの外部で秘密キーを作成し、それをインポートする方法があります。その場合、バックアップがあります。しかし、あなたの場合の要件は、キーがカード自体で生成される必要があることです。つまり、カードでのみ使用できます。

... PKIキーペアの生成にスマートカードを使用する必要があります。ただし、私は秘密鍵を所有し、物理デバイスに依存しないことを望みます... PKCS#11セキュリティは必要ありません。

何を望んでいても、何を必要としているかは関係ありません。 CAは、発行する証明書を誤用から適切に保護する必要があると判断しました。定期的にコード署名キーが盗まれ、マルウェアに署名して拡散するために悪用され、スマートカードにのみキーを置くことは、これに対する優れた保護策です。

... PKCS#11が将来適切ではない場合

PKCS#11は確立された標準であり、広く使用されています。 PKCS#11が廃止される前に、コード署名証明書の有効期限が切れている可能性があります。

2
Steffen Ullrich