Schlüsselpaare werden sicher im HSM gespeichert. Aber sollte während einer Chipkartenanmeldung der private Schlüssel nicht in die Chipkarte eingefügt werden?

391
Onion

Ich verstehe, dass in einer PKI, die HSM verwendet, die Schlüsselpaare sicher im HSM gespeichert werden. Anwendungen, die Verschlüsselungs- / Entschlüsselungsfunktionen erfordern, kommunizieren über APIs mit dem HSM.

Angenommen, ich möchte eine Smartcard für einen Benutzer als Enrollment Agent erstellen. Wie soll der HSM den privaten Schlüssel des Benutzers erhalten und in die Smartcard einfügen?

1
Ich habe das [windows] -Tag hinzugefügt, weil Sie die Rolle des Enrollment-Agenten erwähnt haben. Dies ist eine Active Directory-Sache. Wenn Sie über etwas anderes sprechen, können Sie Ihren Beitrag bearbeiten. Gute Frage! Ben N vor 8 Jahren 0

1 Antwort auf die Frage

0
Ben N

Wenn ein Enrollment Agent ein neues Smartcard-Zertifikat erstellt, wird ein neues Schlüsselpaar erstellt und diesem Benutzer in Active Directory zugewiesen. Beachten Sie, dass der Schlüssel des Enrollment Agent nirgendwo geschrieben wird. Der HSM hilft beim Erstellen eines neuen (kryptografisch zufälligen) Schlüsselpaares. Das neue Paar wird vom HSM gesendet und auf die Chipkarte geschrieben.

Wenn der vom Enrollment Agent registrierte Benutzer bereits über einen Schlüssel verfügt, erhält er nur einen neuen, der gleichermaßen bei der zertifikatbasierten Authentifizierung funktioniert. Der HSM muss keine vorhandenen privaten Schlüssel kennen, um einen neuen zu erstellen.

Weiterführende Literatur: Zertifikatsanmeldung mit Chipkarten, Registrierung für Zertifikate im Auftrag anderer Benutzer, Verwendung des Hardware-Sicherheitsmoduls von nCipher

Verwandte Probleme