Certificates
硬體安全模組生成的數字證書
沒有基於硬體的熵源的軟體庫將提供足夠的安全性來生成數字證書。然而,硬體安全模組提供基於硬體的熵源和 api 來生成證書以及其他加密操作。但是僅僅為了製作證書而購買 HSM 將有點花很多錢來購買一個功能。有沒有其他方法或設備來製作強數字證書?
購買 HSM 不僅僅是為了生成證書的功能。
- HSM 還非常安全地儲存證書。除非您獲得授權,否則您不能在 HSM 中使用證書
- HSM 還提供對 HSM 本身的非常安全的管理 - 例如,您可以為 5 個管理員創建智能卡並說必須使用至少任意 3 張卡來管理 HSM
- HSM 為簽名提供了非常高的速度。如果您每秒執行大量簽名,那麼這會減少您的軟體負載。
- HSM 還為密鑰生成提供高速。這對於臨時證書生成可能很重要 - 每個證書僅用於一次簽名。
我從您的評論中了解到,HSM 並不是您真正需要的。HSM 的主要目的是安全地儲存密鑰,包括物理保護層。這就是使它們特別(且昂貴)的原因。HSM 的第二個最重要的特性是一個特殊的處理器,它可以非常快速地執行加密操作(想想,每秒數千個 RSA 簽名)——你顯然不需要。
有一些簡單的硬體設備可以以更少的錢提供熵,但我懷疑你是否也需要這些設備。
您的作業系統應該為您提供相當不錯的熵。如果您自己添加一些額外的熵(時間戳、程序 ID、日誌條目),您將獲得足夠的隨機性來獲得好的密鑰。