ソフトウェアライブラリを使用せずにハードウェア暗号化デバイス(USB暗号化ドングル/キーストアなど)を使用する正当な理由はありますか?

StackOverflow https://stackoverflow.com/questions/1200319

  •  05-07-2019
  •  | 
  •  

質問

アプリケーションが(さまざまな理由で)データを暗号化/復号化する必要がある場合、ソフトウェア暗号化ライブラリ(次のような)の代わりにハードウェアデバイス(Marx CryptoBoxなどのUSB暗号化デバイスなど)を使用する理由がありますか.net暗号化または独自の暗号化を作成して)、キーを安全なキーストアに保管しますか。

この問題に関する客観的な見解を探しています。

提起された質問を絞り込むには: usb暗号化ドングルを使用したシステムが物理的に安全なサーバーボルトに収容されていて、存在するシステムが1つだけだった場合(つまり、多くのデスクトップで配布および実行されるソフトウェア製品ではありません)?非常に単純な言葉で言えば、上記のシステムの目的は、受信した暗号化されたデータの一部を検証(復号化および比較)することです。

これまで、すばらしい回答をありがとう!

役に立ちましたか?

解決

100%防弾とは言えないため、これはより安全なものではありません。 「できる限り難しくする方法」についての質問です

この時点から確認できます。コンピューターにキーを保存すると、24時間年中無休で使用できます。キーのペアが外部デバイス上にある場合、キーはデバイスに接続されている間のみアクセス可能です。 ==>他の誰かがキーをコピーできる時間枠を短縮します。物理的なアクセスが必要ない場合は、何かにアクセスする方がはるかに簡単です。

オンラインバンキングを考える:多くの銀行は、「外部」を追加しています。 Tan / Tac / tanSMS / tokengeneratorsなどの認証方法。これらはどちらも安全ではありません。ログインパスワードを盗んだり、携帯電話を盗んだり、Tac / Tanリストを盗んだりできます。しかし、チャンスは非常に低いため、必要なすべての要素を一度に盗むことができます。パズルのすべてのピースが一緒になって、非常に安全なソリューションを作成します。

これらの要因も考えてください:

  • お金:100ドルのアプリに70ドルのトークンベースの保護が本当に必要ですか?
  • 時間:ソフトウェアベースのシステムの方が高速だと思います
  • 関連性:このような複雑な保護システムをアプリに提供するのは理にかなっていますか

他のヒント

ハードウェアキーを使用すると、ソフトウェアの使用をキーが接続されているマシンに制限できます。

ソフトウェア暗号化を使用すると、ソフトウェアを多数のマシンにコピーして、何度も並行して実行する方が簡単になります。

はい、あります。

1つには、ネットワークを信頼するのではなく、安全なチャネルを介して秘密キーを物理的に送信できます。

もう1つは、すべてがネットワークに接続されていない多くのシステム間を移動する必要がある場合、USBキーのほうが便利です。そのため、軍隊は非常によく似たシステムを使用します( EKMS )。 USBは使用しませんが、大きなプラスチックキーのように見える小さなドングルを使用します。考え方は同じですが、USBが開発されていた90年代前半には存在しませんでした。

alt text

(注:Wikipediaの記事の完成度はちょっと怖いです。KPに取り組んでいたとき、 FIREFLY は履歴書に記載されていますが、その意味を誰にも伝えることはできませんでした。)

これは、アプリケーションの目的/用途に依存すると思います。銀行や政府などの高度なセキュリティニーズに対応した製品を開発している場合、ソリューションにハードウェアを追加することは完全に適切です。ハードウェアソリューションがプロジェクトに追加する追加コストを考慮する必要があります。初期開発だけでなく、開発完了後に必要となる継続的なハードウェアメンテナンスコスト。私の観点では、過去に銀行業務を行ったことがありますが、ハードウェアソリューションがそれに伴う追加コストの価値があると感じたソリューションは非常にわずかでした。

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top