我正在为我的企业购买一个评估安全令牌(组合智能卡/USB 读卡器),其功能如下:
- Windows 7 x64
- OS X 10.6.x x64
- Ubuntu Linux(64 位或 32 位,10.04 或 10.10,我可以根据可能的标记进行调整)
我需要的功能是:
- 登录认证
- 全盘加密的身份验证(在 Linux/Windows、Mac 中可灵活使用)
- 使用 PGP 和 x.509 证书签名/加密
- 支持 RSA-2048 密钥(1024 不够好。)
- 我可以自己管理证书
- 开源中间件/驱动程序(不一定是 FOSS,只要有源代码即可。可以灵活运用,我只想能够审核代码。在 Linux 上兼容 OpenSC 就太好了。)
是否有任何代币可以做到这一切?或者我需要多个代币才能完成此操作?或者我需要查看智能卡和读卡器才能获得这些?我已经研究这个问题一段时间了,甚至花了很长时间才获得有关产品的准确信息。
另外,我在美国,欧盟出口法似乎禁止我从那里购买,所以这些供应商不予接受。我正在寻找 Gooze 的 Feitian 代币,但由于它们在法国,我买不到。
答案1
我不知道您使用什么软件进行磁盘加密之类的操作,但大多数 PKCS.11 卡都可以满足您的大部分需求。由于安全工作方式的原因,证书管理有点受限。您不能将自己的私人证书放在卡上,卡必须为您生成证书(USB 令牌模拟卡,它不必是物理卡)。这里有很多复杂性,为了简单起见,我在这里略过。
如果您能找到能够满足您的需求并读取行业标准 PCKS.11 格式的软件,那么这张卡就可以为任何目的提供证书。Windows、Linux、Mac 和其他操作系统已经有登录解决方案。PGP 和 OpenSSL 都可以与 PKCS.11 交互。TrueCrypt 可以将其用于 Trivial Key 存储(不熟悉 TC,因此不确定这到底是什么意思)。
您可以获得模拟智能卡读卡器和卡的标准 PKCS.11 USB 令牌。您可以从各种来源获得它们,大多数都宣传它们能够“登录 Windows”或类似功能。并非所有智能卡/令牌都相同,PKCS.11 卡具有特定功能。
启动SSL出售阿拉丁代币相当便宜。雅典娜还销售真正的智能卡。
注意:我没有使用任何 USB 令牌,我们使用真正的智能卡。
由于这些东西非常复杂,因此没有太多公开信息。供应商通常无法给出简单的答案,因为这取决于许多因素。因此,为了避免误导人们,他们什么也不说(除了如何联系他们并让顾问与您一起制定细节)。我甚至没有提到从硬件设备颁发智能卡证书的证书颁发机构要求……