Odpověď na názor

PIN do mobilu je trošku něco jiného než klíč pro podpis kořenové domény. Trezor je výrazně bezpečnější, než osmimístný PIN. U notebooku byste těžko zajišťoval, že z něj privátní klíč nijak neunikne. Ty čipové karty právě nejsou chráněné PINem (to bylo považováno za nedostatečné), jsou chráněné trezorem. Ten PIN tam zůstal jenom proto, že to tak příslušný HSM má a je jednodušší použít všeobecně známý PIN u hotového řešení, než vytvářet a auditovat custom HSM jenom proto, abyste nemusel zadávat PIN a nebyly komentáře v diskusi na Rootu „PIN 1234, ha ha ha“ od lidí, kteří reagují reflexivně na jednoduchý PIN a nepřemýšlí o tom.

Fyzické zabezpečení se dá překonat, ale je to podstatně náročnější, než překonat osmimístný PIN. Celý ten ceremoniál má daleko víc bezpečnostních prvků, než jen HSM – směšné by naopak bylo v porovnání s ostatními bezpečnostními opatřeními „zabezpečení“ osmimístným PINem.

Mimochodem, to opatření, že se po několika chybných pokusech přístup zablokuje, se v souvislosti s PINy používá právě proto, že jsou si lidé vědomi toho, že zabezpečení PINem je slabé, takže tohle je snaha tu slabost alespoň nějak zalepit.

Navíc když se na celé zabezpečení podíváte, zjistíte, že je tam snaha nejen utajit privátní klíče, ale zároveň je tam protichůdná snaha o ty klíče nepřijít. Proto jsou ty klíče např. uložené ve dvou HSM a dost pracně se řeší, jak klíč bezpečně dostat z jednoho HSM na druhý. Do toho by ale opět nezapadlo řešení, že čip po pár chybných pokusech svoje data zničí. Jistě, těch karet je sedm a k odemčení stačí tři (jestli se nepletu), ale bylo by to další zbytečné riziko.

Takže naopak, z pohledu bezpečnosti je to vymyšlené dobře – jenom je potřeba se nad tím opravdu zamyslet a ne reagovat stylem „PIN 1234, ha ha ha“.