<div dir="ltr">Thank you grarpamp, but that's not what I'm trying to prevent/achieve. I simply want to host the private key for a hidden service inside a secure element (a smartcard) to ensure that only the hardware that has direct access to my smartcard can publish the descriptors for the service and decrypt incoming packets. I do realize the host will have complete control over the Tor instance and that's fine, I simply want to prevent it (or a different host) from ever publishing this HS without having access to the smartcard.<div><br></div><div>The idea is to tie the HS to the physical smart card - whoever holds the smartcard can publish the service, once the card is removed, the service moves with it.</div><div><br></div><div>An attacker (with or without physical access to the machine running Tor) would not be able to extract any information that would allow him to impersonate the service at a later time. Of course, he can change the _current_ content or serve his own, but cannot permanently compromise the service by reading its private key.</div><div><br></div><div>Thank you,</div><div>Razvan</div><div><br></div><div>--</div><div>Razvan Dragomirescu</div><div>Chief Technology Officer</div><div>Cayenne Graphics SRL</div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Oct 16, 2015 at 1:56 AM, grarpamp <span dir="ltr"><<a href="mailto:grarpamp@gmail.com" target="_blank">grarpamp@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Tue, Oct 13, 2015 at 4:08 PM, Razvan Dragomirescu<br>
<<a href="mailto:razvan.dragomirescu@veri.fi">razvan.dragomirescu@veri.fi</a>> wrote:<br>
> essentially, I want to be able to host hidden service keys on the card. I'm<br>
> trying to bind the hidden service to a hardware component (the smartcard) so<br>
> that it can be securely hosted in a hostile environment as well as<br>
> impossible to clone/move without physical access to the smartcard.<br>
<br>
</span>The host will have both physical and logical access to your<br>
process space, therefore you're compromised regardless<br>
of where you physically keep the keys or how you acccess<br>
them.<br>
<br>
Though there are trac tickets you can search for involving<br>
loading keys into tor controller via remote tunnel without need<br>
to leave and mount or access physical devices in /dev.<br>
_______________________________________________<br>
tor-dev mailing list<br>
<a href="mailto:tor-dev@lists.torproject.org">tor-dev@lists.torproject.org</a><br>
<a href="https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-dev" rel="noreferrer" target="_blank">https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-dev</a><br>
</blockquote></div><br></div></div>