Abuse Melding

Je hebt een klacht over de onderstaande posting:

28-10-2021, 13:08 door majortom

Door Anoniem: Aan de andere kant - uiteindelijk zal er een test/ontwikkelstraat zijn bij de hele QR infrastructuur, en hebben daar beslist mensen ook tig dummy QRs zitten aanmaken in de ontwikkelfase . Misschien eerst met een test-signing key, maar uiteindelijk moet je de productieversie testen voordat je 'm definitief live zet . Dan is het wel voorstelbaar dat je een stel dummy QRs maakt - en die kunnen ook lekken In een goede omgeving zou dit niet mogen gebeuren. Ten eerste zou de private key veilig moeten worden opgeslagen, in dit geval zou ik zeker een HSM verwachten, waarmee ook het keypair gegenereerd zou moeten worden, en waarbij de HSM ook het signeren voor zijn rekening neemt (gebruik makend van bijv, de PKCS#11 standaard). Indien goed geimplementeerd zal dan de private key nooit de HSM kunnen verlaten (hooguit naar een andere HSM voor availability/escrow) en dus nooit in handen ven een persoon kunnen vallen. En daarbij, wanneer het mechanisme in test werkt met een test keypair, dan werkt het in ...

Beschrijf je klacht (Optioneel):

captcha