HubiモードでYubiKeyを使用してWindows CAインフラストラクチャを保護することは可能ですか？

技術的には「安全」とはどういう意味かによって異なりますが、違います。

通常、CAに [〜＃〜] hsm [〜＃〜] を使用する場合、CA秘密鍵（通常はRSA）を意味しますHSM内で生成、保存、使用されます。HSMは、そのキーを内臓から退出させるのではなく、名誉ある自殺を行います。これにより、HSMの改ざん耐性とファームウェアのバグがなくなるまでの間に、ホストマシンが攻撃者によって完全にハイジャックされたり、攻撃者がCAマシンに物理的にアクセスしたりした場合でも、攻撃者は秘密鍵のコピーを取得しません。せいぜい、HSMを使用して任意の署名を生成することができますが、HSMが物理的に回復された場合、攻撃者は秘密鍵をより長く使用することができます。

YubiHSM は、RSAやDSA、または非対称暗号法に関連するその他のアルゴリズムを実行しません。 YubiHSMは対称のみです（AES ...）。したがって、CA秘密鍵に使用した場合、RSA秘密鍵は暗号化されて保存され、対称鍵はYubiHSMに保存されます。ただし、秘密鍵を使用する必要がある場合は、最初にそれをロードして復号化しますRAM、および次に、マシンはそのCPUを使用して署名を生成します。

必要な接着剤となる既存のドライバー（Windows CSP、PKCS＃11ドライバー...）については知りませんが、いずれにしても、「HSM」を使用することによる利益の多くが無効になるため、本質的に、改ざん防止ハードウェアの外部の外部で秘密鍵を有効にできます。

YubiHSMは、X.509認証局ではなく、ワンタイムパスワードなどをサポートすることを目的としています。完全なHSMの安価な代替手段は、むしろ スマートカード です。この種のハードウェアには、非対称キーペアの効率的な生成、保存、使用を可能にする暗号化アクセラレータが含まれています。

一部のコメントにあるように、yubikeyはスマートカードとして機能し、改ざん防止の安全性によっては、小さいCAとしても使用できる可能性があります。

yubiが「完全な」スマートカードであり、「本格的な」HSMではないという単純な理由で小さいため、おそらくかなり遅い（キーワード：比較）。

他のHSMシステムをチェックすると、それらは通常PCIカードのようであるか、または本質的にブレードサーバーまたはそのライン上の何かのように見えます。つまり、それらはユビキーと比較して巨大であり、ユビコの言葉が本当なら、他のHSMは300ワットまたはそのため、YubiはUSBで実行され、（USB仕様では）2,5W（0,5A * 5V）を超えることはできませんが、それよりもさらに少ないと思われます。

ただし、Yubikey 4を使用している場合は、RSAキーを生成する前にファームウェアバージョンを確認する必要があります。 https://www.yubico.com/keycheck/

また、yubiからキーを読み取ることはできないことを忘れないでください。つまり、キーが壊れたり、pinまたはpukを入力してロックしたりすると、秘密キーが永久に失われます。

シナリオによっては、完全にオフラインのコンピューターを使用してキーを生成し、安全な場所にバックアップします（もちろんオフラインで、たとえば紙に書いてありますが、最初に暗号化します）。次に、それをユビに置いて実際に使用します。 PCをワイプすることを忘れないでください。または、ワイプする必要がないものを作成することをお勧めします（ハードディスクやその他のストレージメディアを削除して、ライブCDでRAM）でのみ作業します）。

ルートCAが署名を委任していて、オフラインである場合、何を保護する必要があるのか​​正確にはわかりません。そして、私はこのYubiHSMがe.boxからx.509を保護できるとは思いませんが、CAインフラストラクチャに関する懸念についてアーキテクトに話し、マニュアルのいくつかの制限と機能を読むことをお勧めします。

yubikey HSMのマニュアル http://static.yubico.com/var/uploads/pdfs/YubiHSM%20Manual_1_0_4.pdf