从电话中使用双向SSL和CAC

Question

是否可以从CAC (DOD公共访问卡)中提取证书并将其安装在电话上，以便可以从用户电话中访问使用双向SSL的网站。理想情况下，证书仍然由PIN/passphrase保护。最初对Android手机感兴趣。

Answer 1

CAC似乎是一种典型的智能卡，其中私钥存储在卡上，涉及私钥(如签名)的密码操作也在卡上执行。这种智能卡不允许提取私钥。事实上，这是这些卡的主要目的，任何私人钥匙的使用都应该明确要求实际拥有智能卡。

换句话说:您将无法从卡中提取必要的秘密(证书的私钥)，这样您就可以使用这些秘密来验证自己而不涉及物理卡。

Answer 2

正如@Steffen所说，除非CAC卡存在一些可怕的漏洞，否则您不应该能够从现有的卡中提取私钥。这就是这些事情的意义所在。

也就是说，在卡创建时，您可以将相同的私钥加载到物理CAC卡和Android设备中(假设您的部门政策允许)，或者只需向您注册两张CAC卡，一张物理卡，一张应用程序。

例如，凭据移动应用程序可以通过USB /蓝牙将智能卡模拟为智能卡，也可以通过NFC将其模拟为门读取器。如果您的IT部门支持这样的解决方案，也许类似的东西可以满足您的需求？

免责声明:我为Entrust工作，我没有任何经验的另一个应用程序可能会做同样的事情。