アプリケーションでデータを暗号化/復号化する必要がある場合 (さまざまな理由で)、ソフトウェア暗号化ライブラリ (.net Cryptography など) を使用する代わりに、ハードウェア デバイス (Marx CryptoBox などの USB 暗号化デバイスなど) を使用する理由はありますか?または自分で作成する)、キーを安全なキー ストアに保管しますか?
この件について客観的な意見を求めています。
提起された質問を絞り込むために: USB 暗号化ドングルを使用するシステムが物理的に安全なサーバー保管庫に収容されていて、存在するシステムが 1 つしかない場合 (つまり、配布されて実行されるソフトウェア製品ではない場合)、あなたの意見はどうなりますか?多くのデスクトップ) ? 非常に単純化して言えば、上記のシステムの目的は、受信した暗号化データの一部を検証 (復号化および比較) することです。
これまで素晴らしい回答をありがとうございました!
100%防弾ではないので、何がより安全かということではありません。それは「それをできるだけ難しくする方法」に関する質問です
この時点からそれを見ることができます:あなたがコンピュータに鍵を保存するならば、それらは24時間年中無休でそこにあります。キーのペアが外部デバイス上にある場合、キーはデバイスに接続されている間のみアクセスできます。==>他の誰かがあなたの鍵をコピーできる時間枠を減らします。物理的なアクセスが必要ない場合は、何かにアクセスする方がはるかに簡単です。
オンラインバンキングについて考えてみてください。多くの銀行は、Tan / Tac / tanSMS/トークンジェネレーターなどの「外部」認証方法を追加しています。どちらも安全ではありません。ログインパスワードを盗むことができます。携帯電話を盗むことができます。私はあなたのTac/Tanリストなどを盗むことができます。しかし、チャンスは非常に低いので、必要なすべての要素を一度に盗むことができます=>パズルのすべてのピースが一緒になって非常に安全なソリューションを作成します。
これらの要因についても考えてください。
アプリケーションの目的/使用法によると思います。銀行や政府などの高度なセキュリティニーズに対応する製品を開発している場合は、ソリューションへのハードウェアの追加が完全に適切である可能性があります。ハードウェアソリューションがプロジェクトに追加する追加コストを考慮する必要があります。初期開発だけでなく、開発完了後に必要となる継続的なハードウェア保守コスト。私の見解では、過去に銀行業務に携わったことがありますが、ハードウェアソリューションがそれに伴う追加コストの価値があると感じたソリューションはほとんどありませんでした。
はい、あります。
1つには、これにより、ネットワークを信頼するのではなく、セキュリティで保護されたチャネルを介して秘密鍵を物理的に送信できます。
もう1つは、必ずしもすべてがネットワーク化されていない多くのシステム間を移動する必要がある場合、USBキーの方がはるかに便利です。そのため、軍はそのようなシステム(EKMS)を使用しています。USBは使用しませんが、大きなプラスチックの鍵のように見える小さなドングルを使用します。考え方は同じですが、USBが開発されていた90年代初頭には存在していませんでした。
(注:ウィキペディアの記事がどれほど完全であるかはちょっと怖いです。KPに取り組んでいたとき、履歴書にFIREFLYのような頭字語を付けることは許可されていると言われましたが、その意味を誰にも伝えることはできませんでした。)
ハードウェアキーを使用すると、ソフトウェアの使用を、キーが接続されているマシンに制限できます。
ソフトウェア暗号化を使用すると、ソフトウェアを多くのマシンにコピーして、並行して何度も実行する方が簡単です。