El administrador de certificados de Windows restaura la clave privada de alguna manera

0

Esto puede sonar muy extraño, pero permítanme explicar una situación:
estaba usando mi PKI Private Key instalada cuando Windows Certificate Storagerecibo el token, así que decidí cargarlos en el token y eliminarlos del almacenamiento de Windows. Hasta aquí todo bien.

Pero ahora, cuando uso la clave de token, reaparece Windows Certificate Storage(eso es normal, ya que también puede ver los certificados de las tarjetas inteligentes aquí). ¡Pero puedo exportar clave privada! Y esto definitivamente está mal.

Traté de usar el token solo en diferentes máquinas (donde la clave privada nunca se almacenó realmente en el almacenamiento) y la clave privada no es exportable.

¿Tienes idea de cómo pudo pasar esto? ¿Y cómo eliminar realmente la clave privada del almacenamiento? ¿O por qué se almacenaron de alguna otra manera?

Ency
fuente

Respuestas:

0

Solo estoy "GUAU", no llamaría a esto seguro de ninguna manera, de acuerdo con http://seclists.org/fulldisclosure/2006/Apr/164 las claves privadas no se eliminan y permanecen en el sistema SIN ninguna información sobre esto, yo used intentó usar la aplicación en el enlace adjunto, pero no funciona, sin embargo, pude identificar claves privadas con el editor hexa en la ruta C:\Users\[USERNAME]\AppData\Roaming\Microsoft\Crypto\RSA\[UID]y eliminarlas permanentemente del sistema. Todavía estoy un poco sorprendido de que esto no sea un error, sino una característica.

Si tiene un certificado instalado en HD (es decir, usando el CSP mejorado de MS), luego, después de Microsoft, puede eliminarlo usando IExplorer, en el menú Herramientas , hace clic en Opciones de Internet , luego hace clic en la pestaña * Contenido * y luego haga clic en Eliminar. Esta es una acción bien conocida descrita en http://www.microsoft.com/technet/prodtechnol/ie/reskit/6/part2/c06ie6rk.mspx?mfr=true

Al hacer esto, elimina efectivamente el certificado, pero LA CLAVE PRIVADA PERMANECE EN EL HD. Puede encontrar muchos escenarios en los que esto puede ser un problema. Supongamos que va a la casa de un amigo, instala un archivo pkcs12 que contiene su certificado y clave privada con el nivel de seguridad "Medio" (predeterminado), luego lo usa y cuando termina su trabajo, elimina el certificado (pero NO el llave privada). Luego, su amigo toma su certificado (es un documento público) y lo instala, teniendo su clave privada trabajando para él.

El programa cleancapi elimina las claves privadas que ningún certificado utiliza. Código fuente: http://dwnl.nisu.org/dwnl?fic=cleancapi_0_2_src.zip Versión precompilada: http://dwnl.nisu.org/dwnl?fic=cleancapi_0_2_bin.zip

Ency
fuente
No es tanto un error e incorporó una característica. Necesita su clave privada incluso cuando el certificado público correspondiente se haya eliminado o se haya invalidado o haya expirado. Por ejemplo, de lo contrario no podría descifrar ningún dato cifrado a través del certificado. Un certificado debe ser visto como algo totalmente separado de una clave privada (por ejemplo, usted recopila muchos certificados de terceros, por supuesto, sin su clave privada). - Instalar la clave privada de uno en una máquina extranjera, esa es la brecha de seguridad real (incluso si la eliminó, su caja podría haberla copiado en segundo plano durante mucho tiempo).
Hagen von Eitzen