访问(智能卡)卡验证槽所需的密码

信息安全 公钥基础设施 智能卡 优比键
2021-08-23 18:21:21

所以让我来设置舞台:

我通过 Yubico 演练创建了一个中间签名证书:https ://developers.yubico.com/PIV/Guides/Certificate_authority.html

我做了一些更改,而不是数字签名插槽,我使用了卡身份验证插槽。原因是,从规范和 Yubikey 的文档中可以看出:

此证书及其关联的私钥用于支持其他物理访问应用程序,例如通过启用 PIV 的门锁提供对建筑物的物理访问。执行此插槽的私钥操作不需要最终用户 PIN。

所以这看起来很棒,但是为了与这个插槽进行交互,我的 openssl/pkcs11 配置无论如何都需要一个 PIN。我可以简单地将 PIN 包含在与 CA 的任何脚本交互中,但这似乎并不正确。

有没有人经历过这个,或者解决它?

1个回答

CA 的唯一目的是发布数字签名,特别是对从属证书的公钥进行签名;选择“数字签名”以外的密钥功能与此目的背道而驰。

您不应该在数字签名插槽中拥有 CA 证书,然后在 card-auth 插槽中拥有从属证书(由 EAPOL 设备信任)吗?

其它你可能感兴趣的问题
上一篇如何解释 scrypt vs bcrypt vs pbkdf2 比较表? 下一篇SQL注入逃逸挑战安全牧羊人