Servizi certificati Windows: è possibile registrare un certificato SmartCard E archiviare le chiavi?

5

Uso il kit client ACOS5-64, voglio registrarmi per un certificato con l'archiviazione delle chiavi. Ho provato a farlo duplicando il modello di SmartCard e controllato l'opzione di chiave privata di crittografia di Oggetto archivio come mostrato nell'immagine qui sotto, ma quando richiedo un certificato con questo modello, il mmc si arresta in modo anomalo.

Quindi questo è quello che mi sto chiedendo:

  1. Sta succedendo perché l'archiviazione delle chiavi non è consentita nella smart card e nel CSP che sto utilizzando?

  2. Esistono smart card e CSP che consentono l'archiviazione delle chiavi?

Screenshot: creazione di un modello SmartCard con archiviazione chiavi:

Screenshot:eccol'errorenelvisualizzatoreeventiquandosiverificaunarrestoanomalodiMMC:

Aggiornamento:avolteilmmcnonsièbloccatoelarichiestadicertificatononèriuscitaacausadiquestoproblema:"Tipo non valido specificato"

Screenshot: errore nella richiesta di certificato

    
posta Majdoleen 01.10.2015 - 13:17
fonte

1 risposta

3

Il CSP lato client (il CSP Smart Card in questo caso) deve supportare l'archiviazione delle chiavi per l'archiviazione delle chiavi in funzione:

CSP support for key archival operations In order to securely transmit and archive private keys, CSPs on CAs and domain member computers must support symmetric and asymmetric encryption. Additionally, support is required for generating exportable keys, either by manually submitting a certificate request and selecting the option to allow the key to be exported or by using the CRYPT_ARCHIVABLE flag with the CryptGenKey function during programmatic key generation.

Fonte: Risoluzione dei problemi di archiviazione e ripristino delle chiavi

L'idea delle smart card (vs la memorizzazione della chiave privata del software) è che la chiave privata non lascia mai la carta. Tuttavia, secondo l'autorevole Brian Komar, i CSP possono supportare la bandiera CRYPT_ARCHIVABLE:

If a smart card fails, the encryption private keys stored on the smart card are lost. If the smart card cryptographic service provider (CSP) supports key archival (through the enabling of the CRYPT_ARCHIVABLE flag), the private key is archived at the issuing CA.

Fonte: libro di Windows Server 2008 PKI e certificato di sicurezza

Detto questo, raccomando vivamente di non esportare la chiave privata della smart card in primo luogo, poiché ciò mina la sicurezza fornita da una soluzione che utilizza smart card.

Non so quali sono i tuoi requisiti, ma in generale esistono due funzioni per i certificati: firma e crittografia.

Se si utilizza il certificato della smart card per la crittografia dei dati, è preferibile archiviare o eseguire il backup della chiave di crittografia simmetrica utilizzata per crittografare i dati. Ciò potrebbe essere ottenuto mediante l'uso di un certificato "Data Recovery" anche memorizzato su una smart card, che viene utilizzato per crittografare le copie di backup della chiave di crittografia simmetrica. Il file system crittografico Microsoft legacy è un esempio ben documentato di un sistema che funziona in questo modo.

Se utilizzi il certificato della tua smart card per la firma (autenticazione client, firme digitali, ecc.), ti consiglio nuovamente di evitare completamente l'archiviazione delle chiavi:

Private keys that are used for signing should never be archived or recovered because the potential for more than one person to possess and use a private key introduces non-repudiation issues.

Fonte: Archiviazione e gestione chiavi PKI di Servizi certificati Active Directory

    
risposta data 17.10.2016 - 10:34
fonte