È possibile utilizzare lo stesso certificato su più macchine esportandolo?

1

La mia banca propone un certificato. Dicono che sarò in grado di usarlo solo su un computer. Non capisco: non posso usare lo stesso certificato su più macchine esportandole e reimportandole?

    
posta user310291 04.06.2012 - 22:55
fonte

3 risposte

3

In generale, se riesci ad esportare la chiave privata e importarla in un'altra macchina, allora sì puoi usarla su più macchine.

Ciò presuppone che la chiave sia effettivamente esportabile e che la banca non stia eseguendo altri controlli che legano la chiave a un determinato computer.

    
risposta data 04.06.2012 - 23:31
fonte
2

La cosa migliore sarà avere i certificati installati in un token hardware certificato piuttosto che averlo in un'implementazione soft token. Se le copie dei certificati e delle coppie di chiavi sono rese possibili di quelle che sfidano il principio di base dell'autenticazione basata su certificati.

Se invece la tua banca ti permette di avere un certificato in un token hardware, tutto ciò che ti serve è avere il token inserito nella macchina di tua scelta ed eseguire l'autenticazione bancaria e operazioni sicure come 2FA o la firma delle transazioni.

È importante menzionare che avere token hardware fornisce un livello superiore di sicurezza ma allo stesso tempo ha implicazioni aziendali e riduce la facilità d'uso dell'utente, poiché l'utente potrebbe dover installare driver, PKCS # 11 dll o CSP nei sistemi in cui il token è necessario per essere utilizzato.

    
risposta data 05.06.2012 - 13:02
fonte
2

Ciò che la tua banca dice potrebbe avere più a che fare con il processo di richiesta del certificato. Ho visto questo problema confondere un numero di persone quando si lavora con una CA istituzionale.

Quando richiedi un certificato all'interno del tuo browser (ad esempio utilizzando <keygen/> , CRMF o ActiveX CertEnroll / XEnroll), il browser genererà una coppia di chiavi durante il processo e invierà la chiave pubblica alla CA come parte del certificato richiesta (il formato esatto varia a seconda del metodo utilizzato).

Successivamente (per quanto tempo dipenderà dal processo di verifica fuori banda delle CA), la CA emetterà un certificato. Una volta importato nel browser, questo certificato verrà associato con la sua chiave privata e sarà visibile nell'elenco dei certificati (ad esempio la scheda "I tuoi certificati" in Firefox).

Il problema è che tra questi due passaggi (generazione della chiave e importazione del certificato nel browser), i browser tendono a non mostrare nulla nella loro interfaccia utente. Di solito non c'è una voce o lista che dice "chiave privata in attesa di certificato", nonostante la chiave privata sia presente, e il certificato può essere associato solo con la sua chiave privata corrispondente, quindi questo non funzionerebbe in un browser diverso.

Questo può sorprendere le persone che hanno fatto domanda con un browser e provare a importare il loro nuovo certificato da un browser diverso una volta che hanno ottenuto la risposta dalla CA in un secondo momento.

Una simile dichiarazione della tua banca potrebbe anche essere un modo per evitare qualsiasi spiegazione su come esportare i certificati del tutto. Questo può facilmente confondere gli utenti non tecnici. Potrebbero anche temere che alcuni utenti possano utilizzare anche password deboli per proteggere il loro file PKCS # 12 (assumendo che sia il formato utilizzato per l'esportazione), il che potrebbe vanificare il punto di utilizzo dei certificati.

    
risposta data 05.06.2012 - 16:47
fonte

Leggi altre domande sui tag