Get best of the week

Die Tensor-Zertifizierungsstelle kann die privaten Schlüssel des Kunden gefährden

Das Vorstehende in diesem Artikel ist mein Werturteil, aber ich schlage vor, dass der Leser die Fakten objektiv bewertet.

Unternehmenstensortensor_sbis Es verfügt über ein eigenes Zertifizierungszentrum und stellt Zertifikate zur Überprüfung von Schlüsseln für die elektronische Signatur an Einzelpersonen und juristische Personen aus.

Für diejenigen, die mit inländischen elektronischen Signaturen noch nicht vertraut sind, eine kleine Einführung. Wir speichern elektronische Signaturschlüssel im Allgemeinen auf vier Arten:

  1. in einer Datei auf der Festplatte (oder in der Registrierung) - die am wenigsten geschützte Option;
  2. auf einem „dummen“ Schlüsselmedium, auf dem Ihr Schlüssel durch einen PIN-Code geschützt ist - mittlere Sicherheit;
  3. auf einem „intelligenten“ Schlüsselmedium - hier kann das Medium unabhängig kryptografische Operationen ausführen, daher verlässt der private Schlüssel das Medium nie.

    Alle Operationen werden auf einem Chip ausgeführt. Daher werden Schlüssel auf solchen Medien als nicht entfernbar bezeichnet.
  4. cloud (on cloud) - In diesem Fall geben Sie Ihren privaten Schlüssel an jemanden weiter, in der Hoffnung, dass er ihn selbst nicht verwendet und an niemanden weitergibt. Worte, um diesen Wahnsinn zu beschreiben, reichen nicht aus, aber er ist auf dem Markt vorhanden. Der Schwerpunkt liegt auf der Bequemlichkeit, die bekanntermaßen am anderen Ende der Sicherheit liegt.

Ich benutze die dritte Option - den „intelligenten“ Schlüsselträger. Die fünfte Version von Crypto Pro lernte schließlich, wie man integrierte Kryptografietools auf Schlüsselmedien verwendet, und es wurde eine absolut transparente (für ein Programm mit Kryptografie) Generierung und Verwendung von Hardwareschlüsseln möglich. Dies ist ein sehr wichtiger Punkt - wenn nichts absichtlich getan wird, funktioniert es einfach.

Einige Zeit arbeiteten sie lobenswert, aber im Dezember musste ich ein neues Zertifikat bekommen, und dann stieß ich plötzlich auf eine Reihe von Schwierigkeiten. Weiter die nackten Fakten:

  1. , (100 ) , . , . , . — , , . . .
  2. ( ) 2019-, , «» - . , , , .
  3. , , . .
  4. , , - , .

Die Art der Fakten. Weiter meine Argumentation.

Wir erinnern uns an die obige These, dass Smart Media einfach funktioniert, wenn Sie einfach nichts tun. Es gibt also einen (bösen) absichtlichen Versuch, diese Funktion zu deaktivieren. Wozu? Wir erinnern uns an die erste Tatsache oben. Arbeiten beim Generieren eines Schlüssels ist nur online möglich. Die Software sendet eine Zertifikatanforderung an die Zertifizierungsstelle. Aber ist es nur das? Es gibt keine einfache Möglichkeit zu überprüfen, was noch an die Zertifizierungsstelle gesendet wird, es gibt keine - der Austausch ist verschlüsselt. Nichts hindert jedoch daran, die Zertifikatanforderung und den Schlüssel selbst zusammen zu senden. Durch das Verbot aller „intelligenten“ Schlüsselträger kann die Software nun den neu generierten privaten Schlüssel abrufen und an die Zertifizierungsstelle (oder an eine andere Person) senden.

Update : Ein sehr interessanter Kommentar wurde erhalten.

Update 2:: nicht weniger interessanter Kommentar

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles