私は現在privを保存する可能性を探しています。キーをハードウェア上の安全な方法でサーバに保存します。クリティカルなサーバー上のキーは、安全なハードウェアに格納する必要があります。このための "古典的な"アプローチはHSMを使用することですが、異なるプロジェクトのサーバーはそのように保護する必要が非常に少ないため、HSMを購入するには高価です。サーバでキーストアとしてMSバーチャルスマートカードを使用
私の考えは、サーバーの鍵を保管するためにWindows仮想スマートカードを使用し、サーバー上で実行されるソフトウェアはこのスマートカードと通信するためにPKCS#11を使用する必要がありました。
仮想スマートカードを使用してprivを保存することは可能ですか?鍵をサーバアプリケーション用に使用することができ、常時ピンに入らずに仮想スマートカードを使用する可能性はありますか? Afaikには、Bitlockerを使ってサーバーを暗号化する可能性がありますが、起動時にADから「キー」を取得します。仮想スマートカードで可能なことがあります。たくさん
ヒントありがとうございます。 SoftHSMをサーバーのTPMにバインドすることは可能ですか? – pinas
@pinas AFAIKそうではありません。 SoftHSMは、PKCS#11 API経由でアクセス可能な暗号キーストアのソフトウェアのみの実装です。 – jariq