主要观点：

• 远程密钥证明是依赖方通过加密方式验证公钥是可信设备内生成的密钥对的一部分的机制。
• SmartCard-HSM 从一开始就支持密钥证明，通过在生成密钥对时使用设备认证密钥对公共密钥进行签名来实现。
• 每个 SmartCard-HSM 都携带由设备颁发者 CA 颁发的设备认证证书，用于将设备的唯一标识与生产过程中生成的唯一设备认证密钥对绑定。
• 证书链存储在 SmartCard-HSM 中，可在智能卡外壳的密钥管理器中查看。
• 介绍了用于智能卡外壳的 key-attestation.js 脚本，用于生成新的密钥对并验证 SmartCard-HSM 内部生成的签名公钥请求。
• 密钥证明在商业 CA 和 CA 软件中未得到广泛支持，但PKI 联盟正在推动其采用。

关键信息：

• SmartCard-HSM 支持的远程密钥证明机制及相关证书体系。
• key-attestation.js 脚本的使用及验证过程。
• 商业 CA 对密钥证明的支持情况及相关推动工作。

重要细节：

• 证书格式为 Card Verifiable Certificates (CVC)，包含 CHR（证书持有者）和 CAR（颁发者）等字段。
• CVC 格式的定义及相关标准，如 ISO 7816-8 和BSI TR-03110-3。
• 脚本中对不同类型密钥（如 ECC 和 RSA）的处理及相关 TLV 结构。
• SmartCard-HSM 可通过芯片认证 V2 建立安全通信通道用于远程管理等。