USB令牌PKI解密

Question

我正在寻找用于非对称解密的USB令牌解决方案。服务器使用周期性旋转数据加密密钥(DEK)对敏感数据进行加密，该密钥与加密数据一起存储，并使用USB令牌(KEK)的预先分发的公钥对自身进行加密。

用户(web浏览器客户端)使用用户名和密码登录到单个页面应用程序。然后用户插入USB令牌，这将触发以下顺序：

1. 从服务器检索加密的DEK
2. 用USB令牌私钥解密DEK
3. 从服务器上用DEK检索数据

我已经研究过像尤比基这样的解决方案，但它似乎更多地关注用户身份验证而不是密码服务。以便携格式实现硬件密码的正确产品是什么？昂贵的HSM是不可能的，因为多个用户应该拥有一个可移植令牌的实例。另外，每个实例都应该包含相同的私钥。

Answer 1

好主意，不过你有几个问题

用USB令牌私钥解密DEK

目前，没有浏览器支持直接使用pkcs#11 (智能卡或USB令牌密钥存储协议)解密。

浏览器可以使用存储的键盘进行身份验证，仅此而已。(如果我漏掉了什么，请纠正我)。

虽然您可以使用一些本地实用程序(非web)使用智能卡(gpg，openssl，.)解密。

另外，每个实例都应该包含相同的私钥。

大多数重要的智能卡允许生成一个新的私钥，但您不能导入自己的密钥材料(至少是我拥有的那些)。因此，很难用相同的键盘创建多个智能卡。

您可以做的是加密DEK以获取一组公钥。