什么是 etoken？

Question

我需要编写一个代码来检查 etoken 中存在的数字证书的有效性。 我对 etoken 不熟悉。谁能回答我以下问题，

1. 如何从etoken访问数字证书内容？
2. 我们可以访问存储在 etoken 中的私钥吗？
3. 当我们将etoken插入计算机时，它是否会复制计算机上的数字证书？如果是，那么它在哪里复制它？

我需要为此编写 C++ 程序。我们可以使用 Microsoft 提供的加密 API（如 CrypImportKey() CryptExportKey() ）来满足上述要求吗？

Answer 1

“etoken”是 Aladdin 生产的首批 USB 加密令牌之一的名称。您所要求的通常称为安全令牌。这是一个具有自己的内存的硬件设备，其中存储了证书和私钥。

令牌需要安装驱动程序才能正常工作。该驱动程序集包括 CryptoAPI 的 CSP（加密服务提供程序）的实现。 CSP 负责向 CryptoAPI 提供存储在令牌中的证书。回答您的问题：

1. 通过 CryptoAPI 或 PKCS#11 接口（两者的驱动程序均由供应商提供）。
2. 您可以通过调用相应的 API 使用私钥执行某些操作。但密钥本身是不可提取的。
3. 我不能肯定地说，但对我来说，证书似乎被复制到内存中的证书存储中以提高操作速度。

Answer 2

关于你的第二个问题，我相信可以访问安全令牌上的私钥。安全令牌必须预先编程并以某种方式加载私钥。此外，上次更新证书时，我们使用发行者的 Web 界面在线进行更新，该界面安装了 ActiveX 模块，该模块将新证书上传到设备。我不知道此过程是否还上传了新密钥，但可能不会，因为我不认为您需要更改私钥来为自己创建新的公共证书（需要由颁发者签名才能信任）我相信）。

抱歉，我可能没有多大意义，因为我对公钥基础设施的整个概念还很陌生。

如果其他人可以验证/无效我的主张，请分享您的知识。

编辑：我发现了Alladin设备的硬件黑客：http://seclists.org/bugtraq/2000/May/48
基本上，可以读取 eToken 上的日期，但需要与设备板载内存有直接的硬件接口。