Пары ключей надежно хранятся в HSM. Но во время процесса регистрации смарт-карты разве не предполагается, что закрытый ключ будет введен в смарт-карту?

264
Onion

Я понимаю, что в PKI, использующем HSM, пары ключей надежно хранятся в HSM. Приложения, которым требуются возможности шифрования / дешифрования, будут взаимодействовать с HSM через API.

Однако, если я хочу создать смарт-карту для пользователя в качестве агента регистрации, как HSM должен получить закрытый ключ пользователя и вставить его в смарт-карту?

1
Я добавил тег [windows], потому что вы упомянули роль агента регистрации, который является частью Active Directory. Если вы говорите о чем-то еще, вы можете редактировать свой пост. Хороший вопрос! Ben N 8 лет назад 0

1 ответ на вопрос

0
Ben N

When an Enrollment Agent creates a new smart card certificate, a new key pair is created and assigned to that user in Active Directory. Note that the Enrollment Agent's key is not written anywhere - the HSM helps create a brand new (cryptographically random) key pair. The new pair is sent out from the HSM and written to the smart card.

If the user being enrolled by the Enrollment Agent already has a key, it just gets a new one that will work equally well in certificate-based authentication. The HSM doesn't have to know any existing private keys to create a new one.

Further reading: Certificate enrollment using smart cards, Enroll for Certificates on Behalf of Other Users, Using the nCipher Hardware Security Module

Похожие вопросы