Encryption USB令牌PKI解密

我正在寻找用于不对称解密目的的USB令牌解决方案。服务器使用定期旋转的数据加密密钥DEK对敏感数据进行加密，该密钥与加密数据一起存储，并使用USB令牌KEK的预分发公钥对自身进行加密

用户web浏览器客户端使用用户名和密码登录到单页应用程序。然后，用户插入USB令牌，这将触发以下序列：

从服务器检索加密的DEK 用USB令牌私钥解密DEK 使用DEK的

---

我已经研究过这样的解决方案，但它似乎更关注用户身份验证，而不是密码服务。以便携格式实现基于硬件的密码的正确产品是什么？昂贵的HSM是不可能的，因为多个用户应该拥有便携式令牌的一个实例。另外，每个实例都应该包含相同的私钥。

这主意不错，但是您有一些问题

用USB令牌私钥解密DEK

目前没有浏览器支持直接使用pkcs11智能卡或usb令牌密钥库协议进行解密

浏览器可以使用存储的密钥对进行身份验证，仅此而已。如果我遗漏了什么，请纠正我

虽然您可以使用一些本地实用程序非web来使用智能卡gpg、openssl等进行解密

此外，每个实例都应该包含相同的私钥

大多数严肃的智能卡都允许生成新的私钥，但您不会导入自己的密钥材料，至少是我拥有的密钥材料。因此，很难用同一对钥匙创建多个智能卡

您可以为DEK加密一组您正在寻找的公钥。