Расшифровка USB-токена PKI

Question

Я ищу USB-токен для асимметричной расшифровки.Сервер зашифровал конфиденциальные данные с помощью периодически вращающегося ключа шифрования данных (DEK), который хранится вместе с зашифрованными данными, зашифровал себя с помощью предварительно распределенного открытого ключа USB-токена (KEK).

Пользователь (клиент веб-браузера) входит в одностраничное приложение с именем пользователя и паролем.Затем пользователь вставляет токен USB, который запускает следующую последовательность:

1. Извлечение зашифрованных DEK с сервера
2. Расшифровка DEK с помощью закрытого ключа токена USB
3. Получите данные с сервера с помощью DEK

Я рассмотрел такие решения, как Yubikey , но, похоже, он больше ориентирован на аутентификацию пользователей, чем на службы шифрования.Каков правильный продукт для реализации аппаратного шифра в переносимом формате?О дорогом HSM не может быть и речи, так как несколько пользователей должны обладать экземпляром портативного токена.Кроме того, каждый экземпляр должен содержать один и тот же закрытый ключ.

Answer 1

Хорошая идея, однако у вас есть несколько проблем

Расшифровка DEK с помощью закрытого ключа токена USB

В настоящее время ни один браузер не поддерживает использование расшифровки с помощью pkcs # 11 (протокол хранилища ключей смарт-карты или USB-токена).

Браузеры могут использовать сохраненную пару ключей для аутентификации и все.(если я что-то пропустил, пожалуйста, поправьте меня).

Хотя вы можете использовать некоторую локальную утилиту (не веб) для расшифровки с помощью смарт-карты (gpg, openssl, ...)

Кроме того, каждый экземпляр должен содержать один и тот же закрытыйkey.

Большинство серьезных смарт-карт позволяют генерировать новый закрытый ключ, но вы не импортируете собственный материал ключа (по крайней мере, тот, который у меня был).Поэтому сложно создать несколько смарт-карт с одной и той же парой ключей

Что вы можете сделать, это зашифровать DEK для набора открытых ключей