Frage Schlüsselpaare werden sicher auf HSM gespeichert. Aber sollte der private Schlüssel während eines Smartcard-Registrierungsprozesses nicht in die Smartcard injiziert werden?


Ich verstehe, dass in einer PKI, die HSM verwendet, die Schlüsselpaare sicher im HSM gespeichert sind. Anwendungen, die Verschlüsselungs- / Entschlüsselungsfunktionen erfordern, kommunizieren über APIs mit dem HSM.

Angenommen, ich möchte eine Smartcard für einen Benutzer als Registrierungsagent erstellen, wie soll das HSM den privaten Schlüssel des Benutzers erhalten und in die Smartcard einspeisen?


1
2018-03-17 15:12


Ursprung


Ich habe das [windows] -Tag hinzugefügt, weil Sie die Rolle von Enrollment Agent erwähnt haben, was eine Active Directory-Sache ist. Wenn Sie über etwas anderes sprechen, können Sie Ihren Beitrag bearbeiten. Gute Frage! - Ben N


Antworten:


Wenn ein Registrierungsagent ein neues Smartcardzertifikat erstellt, wird ein neues Schlüsselpaar erstellt und diesem Benutzer in Active Directory zugewiesen. Beachten Sie, dass der Schlüssel des Registrierungsagenten nirgendwo geschrieben ist - das HSM hilft bei der Erstellung eines brandneuen (kryptografisch zufälligen) Schlüsselpaars. Das neue Paar wird vom HSM gesendet und auf die Smartcard geschrieben.

Wenn der Benutzer, der vom Registrierungsagenten registriert wird, bereits über einen Schlüssel verfügt, erhält er nur einen neuen Schlüssel, der bei der zertifikatbasierten Authentifizierung genauso gut funktioniert. Das HSM muss keine vorhandenen privaten Schlüssel kennen, um einen neuen zu erstellen.

Weiterführende Literatur: Zertifikatsanmeldung mit Smartcards, Registrieren Sie sich für Zertifikate im Auftrag anderer Benutzer, Verwenden des Hardware-Sicherheitsmoduls von nCipher


0
2018-03-17 15:43