Для скомпрометированных компьютеров было бы относительно легко украсть закрытый ключ пользователя, если бы он хранился как программный открытый ключ (например, на жестком диске). (Известно, что вредоносное ПО APT (ботнет) включает в себя функции, позволяющие сделать именно это.)
Но, что более важно, ничто иное, как физическая недееспособность пользователя, не гарантирует отказа от прав. Безотказность - это то, что пользователь выбирает, несмотря на доказательства, и доказать, что пользователь не что-то сделал, невозможно. В конечном счете, отказ от участия связан с юридическим (или, по крайней мере, деловым) вопросом: каков уровень вашей уверенности в том, что пользователь выполнил действие, которое он отрицает, выполнив, и что его отрицание является нечестным? Криптосистемы могут обеспечить только разумную уверенность в участии пользователя в действии; они не могут предоставить абсолютное доказательство.
Карты PIV (и карты PIV-I) используют ряд мер безопасности для подписания сертификатов. Во-первых, закрытый ключ хранится на смарт-карте, и нет тривиального способа его извлечь. Карта использует цифровой ПИН-код для использования закрытого ключа подписи и эффективно уничтожает ключ после определенного количества неправильных попыток. Аппаратный криптомодуль должен соответствовать стандартам Уровня 2 и быть защищенным от несанкционированного доступа, а транспортировка карты требует физической защиты Уровня 3 (FIPS 201). Сертификат подписан доверенным центром сертификации. ПИН-код, если он введен с помощью клавиатуры, должен быть отправлен непосредственно на карту, чтобы избежать атак типа кейлоггер.
Эти меры предосторожности сложны, интенсивны и до сих пор не гарантируют невозвращение. (Что, если вредоносная программа убеждает пользователя подписать документ, отличный от того, который он намерен подписать? Или пользователь находится под принуждением? Или спецслужба получает транзитную карту и использует секретную уязвимость для извлечения закрытого ключа перед заменой карта?)
Безопасность - это, как правило, вопрос не самого дешевого / самого безопасного, а скорее оценки рисков, смягчения их последствий и в конечном итоге принятия. Каковы ваши значительные риски? Если вы оцениваете типы рисков, не связанных с отказом от авторства, с которыми вы сталкиваетесь, и применяете эффективные компенсационные меры контроля, вы с большей вероятностью найдете экономически эффективное решение, чем если бы вы пытались полностью устранить риск.