在欧盟使用符合个人eIDAS标准的QES最安全的硬件选项是什么？

Question

我知道有两种方法，一种是本地封装存储，例如USB令牌或智能卡，另一种是基于云的密钥库。两者都使用请求身份验证的客户端输入的PIN进行保护。然而，将PIN暴露在软件系统中让我感到担忧。

我担心的是客户端设备，个人电脑或智能手机，主机可定制的软件环境与面向网络的组件。因此，他们很可能被利用，如果他们被某种恶意软件所破坏，我担心这会导致盗用密码，并暂时容许同一恶意软件与其进行未经授权的交易。假设USB令牌是一个挑战-响应甲骨文设备，而不是简单的加密存储，如果它有某种确认，硬件按钮，这限制了它所执行的身份验证，也有一个允许安全进入PIN的键盘，它将最大限度地减少使用受感染的客户端系统的后果。这样的设置是否可用，或者最接近的解决方案是什么？

Answer 1

这样的设置是否可用，或者最接近的解决方案是什么？

是的，有一些智能卡读取器提供“安全针入口”，例如，参见https://www.smartcardfocus.us/shop/ilp/se~6/pinpad-smartcard-readers/p/index.shtml的读卡器

我认为这将是符合eIDAS的。

此外，多个安全密钥(包括一些YubiKeys )支持需要外部操作来验证操作(尽管这可能与您的eIDAS要求不兼容)。

但是，无论您如何验证用户，都应该注意这一反应上的要点:即使引脚本身是安全的，正在签名的事务也可能是恶意的。