Public Key(公钥)

合规建议

  • Public Key应安全存储,避免篡改。

  • Public Key允许硬编码在代码中,允许公开,允许外部读取。应加版本控制。

  • 禁止客户端每次连网时,实时在线拉取Public Key。

  • Public Key可以使用证书的方式在线发布,客户端实时获取证书后,应进行证书安全检查,通过检查才能信任证书内的公钥。

开发细节

密钥对应在安全条件下初始化生成,并在可信环境下登记公钥。

公钥安全检查

  1. 该公钥是否在可信环境下安全交换。例如:

  • 用户账号安全登录后,初始化生成密钥对,类似fido的场景。

  • 两个终端设备进行蓝牙安全配对之后,互相交换自身的公钥。

  • 云端可信服务器对该公钥进行签名。

  • 可信机构对该公钥签发证书(进行证书安全检查)。

  1. 该公钥是否已在当前终端的可信列表中登记。

  2. 该公钥是否与当前实体的身份匹配。