Get best of the week

يجوز لهيئة إصدار الشهادات لـ Tensor اختراق المفاتيح الخاصة للعملاء

ما سبق في هذه المقالة هو حكم تقديري ، لكنني أقترح أن القارئ يقيم الحقائق بموضوعية.

شركة موترtensor_sbis لديها مركز الشهادات الخاص بها وتصدر شهادات التحقق من مفاتيح التوقيع الإلكتروني للأفراد والكيانات القانونية.

بالنسبة لأولئك الجدد على التوقيعات الإلكترونية المحلية ، مقدمة صغيرة. نقوم عمومًا بتخزين مفاتيح التوقيع الإلكتروني بأربع طرق:

  1. في ملف على القرص (أو في التسجيل) - الخيار الأقل حماية ؛
  2. على وسيط مفتاح "غبي" حيث مفتاحك محمي برمز PIN - أمان متوسط ​​؛
  3. على وسيط مفتاح "ذكي" - هنا يمكن للوسيط إجراء عمليات تشفير بشكل مستقل ، وبالتالي فإن المفتاح الخاص لا يترك الوسيط أبدًا.

    يتم تنفيذ جميع العمليات على رقاقة. لذلك ، تسمى المفاتيح الموجودة على هذه الوسائط غير قابلة للإزالة ؛
  4. السحابة (على السحابة) - هذا عندما تعطي مفتاحك الخاص لشخص ما ، على أمل أنه لن يستخدمه بنفسه ولن يعطيه لأي شخص. الكلمات لوصف هذا الجنون ليست كافية ، لكنها موجودة في السوق. ينصب التركيز على الراحة ، والتي من المعروف أنها في الطرف الآخر من الأمن.

أستخدم الخيار الثالث - حامل المفاتيح "الذكي". تعلّم الإصدار الخامس من Crypto Pro أخيرًا كيفية استخدام أدوات التشفير المدمجة على الوسائط الرئيسية وشفافة تمامًا (بالنسبة لبرنامج يستخدم التشفير) أصبح من الممكن إنشاء مفاتيح الأجهزة واستخدامها. هذه نقطة مهمة للغاية - إذا لم يتم فعل أي شيء عن قصد ، فإنها تعمل فقط.

لبعض الوقت عملوا جديرًا بالثناء ، ولكن في ديسمبر كنت بحاجة إلى الحصول على شهادة جديدة ، ثم واجهت فجأة عددًا من الصعوبات. علاوة على ذلك ، الحقائق العارية:

  1. , (100 ) , . , . , . — , , . . .
  2. ( ) 2019-, , «» - . , , , .
  3. , , . .
  4. , , - , .

طريقة إيقاف الحقائق العارية. مزيد من المنطق.

نتذكر الأطروحة أعلاه أنه إذا لم تفعل شيئًا ، فإن الوسائط الذكية تعمل فقط. لذلك هناك محاولة مقصودة (شريرة) لتعطيل هذه الميزة. لماذا؟ نتذكر الحقيقة الأولى أعلاه. العمل عند توليد مفتاح ممكن فقط عبر الإنترنت. يرسل البرنامج طلب شهادة إلى المرجع المصدق (CA). ولكن هل هذا فقط؟ لا توجد فرصة بسيطة للتحقق مما يتم إرساله إلى المرجع المصدق ، لا توجد - يتم تشفير التبادل. ومع ذلك ، لا شيء يمنع إرسال طلب الشهادة والمفتاح نفسه معًا. بعد كل شيء ، من خلال حظر جميع مشغلي المفاتيح "الذكية" ، أصبح لدى البرنامج الآن فرصة لاسترداد المفتاح الخاص الذي تم إنشاؤه حديثًا وإرساله إلى المرجع المصدق (أو إلى شخص آخر).

تحديث : تم تلقي تعليق مثير للاهتمام .

التحديث 2:: تعليق لا يقل إثارة للاهتمام

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles