Sklep Windows CryptoAPI?

4

Właśnie odkryłem, że Windows może przechowywać certyfikaty i klucze używane przez aplikację w „sklepie z kryptografiami”.

Chciałbym wiedzieć, jak bezpieczny jest sklep? Jeśli wybiorę na przykład wysokie bezpieczeństwo i wymagam hasła, aby uzyskać dostęp do sklepu, gdy aplikacja zażąda klucza lub klucza, czy jest on odpowiednio szyfrowany? Masz pojęcie, jakie jest używane szyfrowanie?

Inne pytanie brzmi: jeśli nie potrzebuję hasła, to nie widzę, w jaki sposób zapewnia ono bezpieczeństwo, ponieważ crt i klucze muszą nadal znajdować się w sklepie jako zwykły tekst i być dostępne dla każdego, kto ma dostęp do mojego komputera. W tym przypadku wydaje się tak bezpieczne, jak umieszczenie crt i kluczy w folderze na pulpicie zwanym „sklepem z kryptami” lub czymś podobnym. Tj. To tylko sposób na uporządkowanie rzeczy, ale nie dodaje niczego przydatnego.

Dzięki za informacje.

starcraftcats
źródło

Odpowiedzi:

1

Domyślny magazyn certyfikatów jest tak bezpieczny, jak każdy inny plik zaszyfrowany przez system na twoim komputerze. Na przykład, jeśli ktoś zna twoją nazwę użytkownika / hasło systemu Windows i może się zalogować, może uzyskać dostęp do certyfikatu bez żadnego problemu. Jeśli jednak ktoś po prostu uzyska dostęp do dysku twardego, nie znając poświadczeń systemu Windows, nie może uzyskać dostępu do magazynu certyfikatów. Jest to więc lepsze niż zwykły plik tekstowy na twoim komputerze. Ale jeśli plik zostanie zaszyfrowany przy użyciu domyślnych narzędzi systemu Windows, jego zabezpieczenia będą bardzo podobne: jeśli zapomnisz hasła lub ponownie zainstalujesz system Windows, ich zawartość zostanie utracona na zawsze i nie będzie można jej odzyskać.

Oczywiście, ponieważ certyfikat w domyślnym sklepie musi być dostępny dla programów po zalogowaniu, większe bezpieczeństwo nie jest możliwe bez użycia zewnętrznego sprzętu.

haimg
źródło
Nie przejmuję się hasłem do mojego konta użytkownika systemu Windows ... W każdym razie zbyt łatwo go ominąć. Wygląda na to, że najlepiej jest po prostu wybrać wysokie bezpieczeństwo i ustawić hasło w sklepie. Jeszcze jedna rzecz, czy wiesz, gdzie jest sklep na dysku twardym? Nie można go przeglądać bez użycia mmc.
starcraftcats
Magazyn certyfikatów jest gdzieś pod c:\Users\All Users\Microsoft\Crypto, ale nie zadzieraj z nim bezpośrednio. Po prostu ich skopiowanie nie zadziała, np. Do tworzenia kopii zapasowych musisz użyć wbudowanych funkcji, MMC itp.
haimg
„Nie zawracam sobie głowy posiadaniem hasła do mojego konta użytkownika systemu Windows ... W każdym razie zbyt łatwo go ominąć.” Jedynym sposobem na ominięcie hasła jest fizyczny dostęp do komputera.
surfasb
0

Klucze są (dla prywatnego magazynu kluczy MY użytkownika) przechowywane w zależności od dostawcy usług kryptograficznych (stary lub nowy interfejs API) w ( źródłowym ):

Legacy:
%APPDATA%\Microsoft\Crypto\RSA\User SID\
%APPDATA%\Microsoft\Crypto\DSS\User SID\
CNG:
%APPDATA%\Microsoft\Crypto\Keys

W przypadku interfejsu CNG API klucze są odszyfrowane w usłudze KeyIso (a interfejs API poprosi usługę o ich użycie).

eckes
źródło