Zerotrust по-пацански #2. Как сделать устройство доверенным

[onyxmaster]

Есть YubiKey, который умеет хранить неизвлекаемые ключи сертификатов и аттестацию. Производительности недостаточно для интерактивных сервисов, но достаточно для ключей пользователей и неинтерактивных (менее 1rps) сервисов.

Теоретически у них есть HSM с более высокой производительностью, но опыта его использования нет, так что говорить не могу.

[hollow1]

Спасибо за комментарий! Тоже рассматривали юбик как вариант, чем он немного под схему не подходит - его вытащить можно и вставить в другое устройство. Плюс денег стоит :)

[BulldozerBSG]

Я бы не называл TPM хардварным хранилищем. Насколько мне известно, у него нет столько памяти что бы хранить пользовательские приватные ключи. в отличии от криптотокенов.
TPM генерит приватный ключ внутри себя и выдаёт пользователю в шифрованном виде (грубо говоря шифрует он его с помощью мастер ключа cгенерированного при первичной инициализации TPM). И что бы пользоваться таким пользовательским приватным ключом, мы должны его повторно загружать в TPM. А в TPM постоянно хранится только мастер ключ.

[hollow1]

Привет, спасибо за комментарий! Насколько я знаю, в TPM есть возможность генерить key blob, которые лежат на внешнем носителе (например на харде), но защищен ключом из TPM. И чтобы им пользоваться, нужно дергать ТРМ, согласен.