Hlavní navigace

Názor k článku Yubikey Neo po dvou letech od Filip Jirsák - A když máte požadavky, že klíč nesmí opustit...

  • Článek je starý, nové názory již nelze přidávat.
  • 20. 11. 2015 6:55

    Filip Jirsák

    A když máte požadavky, že klíč nesmí opustit kartu, tak jej musíte vygenerovat na kartě.
    Certifikát vygeneruje certifikační autorita. Pro vytvoření žádosti stačí jen privátní klíč. Pokud byste měl kartu plnou, můžete prodloužit certifikát se stejným klíčem, nebo trochu změkčit to pravidlo „klíč nesmí opustit kartu“, vytvořit a uchovat klíč bezpečným způsobem jinde (např. ho zamknout do trezoru) a na kartu jej pak nahrát jen pro běžné používání. Mít klíč jenom na kartě je nejsnazší způsob, jak o něj přijít (což v případě šifrovacího klíče může být problém).

    Taky ve větším měřítku se nepoužívají vlastní autority, ale akreditované veřejné autority. Tam pak musíte po vydání certifikátu distribuovat sériová čísla certifikátů do všelijakých nezávislých informačních systémů. Pak se nevyhnete období, že máte certifikát, ale ne všichni vědí, koho prokazuje.
    Koho certifikát prokazuje je v něm napsáno. Proč jako identifikaci používáte sériová čísla certifikátů a ne údaje z něj (jméno, e-mail)?

    Jinak u PKCS#11 můžete mít klíčů, kolik chcete. Omezením je jen velikost paměti v kartě.
    Yubikey je úplně stejný případ. Ona ta paměť v kartě nebývá velká.