Openssl 嵌入式linux-RSA私钥策略

我们有一个从SD卡运行的嵌入式linux板。linux板创建一些数据文件，这些文件必须使用私钥签名，以便以后可以使用公钥进行验证。这确保了数据实际上是在该特定板上创建的，并且未被篡改

由于SD卡可以移除，因此很容易读取，因此将私钥文件存储在SD卡（rootfs）上似乎是一种错误的策略。 我们的想法是在启动时生成私钥并将其存储在ram中。生成私钥的种子可以从一些板芯片ID中读取。这将确保在卸下SD卡时无法读取钥匙

---

但这是一个好策略吗？

无人值守密钥存储是一个没有解决方案的问题。无论您是否将其存储在SD卡上、将其刻录到ROM中并熔断保险丝、使用智能卡保护它、使用SIM卡保护它或使用TPM保护它。看彼得·古特曼的

使用已知值播种PRNG，然后执行确定性密钥生成只是潜在问题的一个症状

您必须确定您的威胁，确定您愿意接受多少风险，然后使用符合您安全态势的设计