Предотвращение воздействия закрытого ключа с помощью пользовательского движка openssl
Возможно ли, чтобы механизм генерировал пару ключей, чтобы приложение "использовало" закрытый ключ (например, для подписи), БЕЗ фактического раскрытия ключа? Например, openssl вернет какую-то ссылку, но не сам ключ. Более того, должен быть способ сохранить пару ключей (и любые связанные цепочки сертификатов) и получить их позже. Мы думали о хранении всего в структуре pkcs12.
Не могли бы вы дать мне несколько советов, как это сделать в C?
1 ответ
Это возможно с помощью модуля аппаратной безопасности ( http://en.wikipedia.org/wiki/Hardware_Security_Module), поддерживаемого OpenSSL.
В прошлом я успешно использовал nCipher HSM с OpenSSL, но они не единственные поддерживаемые поставщики.