是否可以使用 tpmvscmgr.exe 实用程序将物理智能卡“克隆”为虚拟智能卡?
我们组织中有几个用户应该使用物理智能卡中包含的相同证书。
答案1
私钥无法从智能卡中提取;事实上,这是重点智能卡。
(尽管它们提供的物理保护远不及 USB 令牌,但仍然需要大量工作和您没有的设备;简而言之,这是不切实际的。除非您使用的是 IDPrime 或其他易受最近发布的 ROCA 攻击的型号……)
但是,如果您的 CA 允许,您可以发出新的生成证书及其私钥在电脑上,然后将该证书和密钥对安装到您想要的任意数量的智能卡上。
答案2
所有关于是否应该这样做的评论都是善意的。话虽如此,你并没有问是否应该这样做,只是问是否可以这样做。是否应该由你决定。并非所有证书都具有相同的用途。似乎大多数应该/不应该的争论都围绕着不可否认性。如果你试图完成的只是身份验证,那么没有理由不这样做。多因素身份验证仍然可以通过你询问的设置来完成。你只需要引入另一个因素。并非每种情况都需要“你拥有的东西”和“你知道的东西”。
除此之外,并非所有系统都具有相同的敏感度级别,并且不需要其他系统所需的安全级别。信息亭、单一用途系统等为公众提供信息且没有敏感数据但仍需要满足组织政策中的安全要求的系统可能会从中受益。而且这样做仍然比不这样做更安全。信息安全中存在灰色地带。目标是尽可能地确保安全,同时尽可能减少功能和可用性的损失。
回答你的问题,是的。但是,这取决于智能卡的“智能”程度。许多用于不可否认性、身份验证、电子邮件等的现代 EMV 智能卡都具有内置安全功能的芯片,如果私钥被复制,这些芯片将“标记”私钥。这些已经被克隆,但它需要不容易获得的工具和技能。这些不是现成的工具或软件。甚至不是硬件。在我看来,这在后勤上是禁止的,而且找到另一种解决方案要容易得多。