在谷歌搜索这个想法并产生很少的结果之后,我开始求助于堆栈交换:
- 是否可以将私钥放在 SIM 卡上?
- Android上的智能手机应用程序是否可以使用私钥进行加密?iOS 呢?那么基于 Windows 的手机呢?
- 如果 (1) 和 (2) 可行,为什么这个功能在 Android/iOS/Windows 中没有更普遍?
看起来,如果 (1) 和 (2) 是可行的,那么利用该功能并从本质上将手机运营商作为证书颁发机构 (CA)(或 CA 机构)将是非常有意义的。
我可以将私钥放在 SIM 卡上吗?
信息安全
公钥基础设施
智能卡
2021-08-27 14:18:42
2个回答
作为对 (3) 的回答 - 直到最近,在没有大量资源的情况下,执行此操作的 API 才很容易获得。
这是执行您在 (1) 和 (2) 中描述的操作的指南。http://nelenkov.blogspot.com/2013/09/using-sim-card-as-secure-element.html
有一些应用程序这样做 - 文章评论说比特币应用程序完全按照您的描述进行。
我不建议信任运营商控制的任何东西来持有私钥。可以使用简单的 SMS 远程更新卡片,但其安全性值得怀疑。
更不用说,偷工减料和遗留的不安全系统在移动运营商中很常见,所以我不会感到惊讶的是,用于向 SIM 卡发送更新的任何系统都已受到攻击,并且可用于提供秘密的更新泄露您的“私人”密钥。