Gerenciador de certificados do Windows restaurar chave privada de alguma forma


0

Isso pode soar muito estranho, mas deixe-me explicar uma situação:
Eu estava usando minha chave privada PKI instalada em Windows Certificate Storage Eu recebo token, então decidi carregá-los para o token e excluí-los do armazenamento do Windows. Por enquanto, tudo bem.

Mas agora, quando eu uso a chave do token reaparece Windows Certificate Storage (isso é normal, como você pode ver também certificados de smartcards aqui). Mas eu posso exportar a chave privada! E isso está definitivamente errado.

Eu tentei usar o token somente em máquinas diferentes (onde a chave privada nunca foi realmente armazenada no armazenamento) e a chave privada não é exportável.

Você tem alguma ideia de como isso aconteceu? E como realmente excluir chave privada do armazenamento? Ou por que eles foram armazenados de alguma forma?

Respostas:


0

Eu sou apenas "WOW" - eu não chamaria isso de forma segura - de acordo com http://seclists.org/fulldisclosure/2006/Apr/164 chaves privadas não são deletadas e ficam no sistema SEM qualquer informação sobre isso, usei tentei usar o aplicativo no link anexo, mas ele não funciona, porém consegui identificar chaves privadas com o editor hexa no caminho C:\Users\[USERNAME]\AppData\Roaming\Microsoft\Crypto\RSA\[UID] e exclua-os permanentemente do sistema. Eu ainda estou meio que chocado, isso não é um bug, mas sim um recurso.

Se você tem um certificado instalado em HD (ou seja, usando o MS Enhanced CSP), então, seguindo a Microsoft, você pode removê-lo usando o IExplorer, no Ferramentas menu, você clica opções de Internet então você clica no *   Conteúdo * e, em seguida, clique em Remover. Esta é uma ação bem conhecida   descrito em http://www.microsoft.com/technet/prodtechnol/ie/reskit/6/part2/c06ie6rk.mspx?mfr=true

Fazendo isso, você efetivamente remove o certificado, mas O PRIVADO   A CHAVE PERMANECE NO HD. Você pode encontrar muitos cenários onde isso pode   ser um problema. Suponha que você vá para a casa de um amigo, você instale um pkcs12   arquivo contendo seu certificado e chave privada com "Medium"   nível de segurança (o padrão), use-o e quando terminar   seu trabalho, você remove o certificado (mas NÃO a chave privada). Então   seu amigo pega seu certificado (é um documento público) e instala   isso, ter sua chave privada trabalhando para ele.

O programa cleancapi apaga as chaves privadas que não são usadas por   qualquer certificado. Código fonte: http://dwnl.nisu.org/dwnl?fic=cleancapi_0_2_src.zip Pré-compilado   versão: http://dwnl.nisu.org/dwnl?fic=cleancapi_0_2_bin.zip


Não é muito de um bug e de um recurso. Você precisa da sua chave privada mesmo quando o certificado público correspondente foi excluído ou invalidado ou expirou. Por exemplo, caso contrário, você não poderia descriptografar dados criptografados por meio do certificado. Um certificado deve ser visto como algo totalmente separado de uma chave privada (por exemplo, você coleta muitos certificados de suas partes, é claro, sem sua chave privada). - Instalando a chave privada em uma máquina estrangeira, naquela é a diferença real de segurança (mesmo que você a tenha excluído, a caixa dele pode ter copiado por muito tempo em segundo plano).
Hagen von Eitzen
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.