🏽 🤧 🤙🏼 Tensor认证中心可能会破坏客户私钥 🧑🏿 🔣 🏂🏽

本文中的前述内容是我的价值判断，但我建议读者客观地评估事实。

公司张量张量_sbis 拥有自己的认证中心，并向个人和法人颁发电子签名密钥的认证证书。

对于那些不熟悉家用电子签名的人，不妨对其进行简要介绍。我们通常以四种方式存储电子签名密钥：

在磁盘上（或注册表中）的文件中-受保护最少的选项；
在“哑”密钥介质上，其中密钥受PIN码保护-介质安全性；
在“智能”密钥介质上-此处介质可以独立执行加密操作，因此私钥永远不会离开介质。

所有操作均在芯片上执行。因此，这种媒体上的密钥称为不可移动的密钥。
云（在云上）-这是您将私钥提供给某人的时间，希望他本人不会使用它并且不会将其提供给任何人。仅仅用言语来描述这种精神错乱是不够的，但它在市场上却存在。重点在于便利性，而便利性是安全性的另一端。

我使用第三个选项-“智能”钥匙扣。 Crypto Pro 5th版最终了解了如何在密钥载体上使用板载加密工具，并且绝对透明（对于使用密码术的程序）的生成和硬件密钥的使用成为可能。这是非常重要的一点-如果不做任何有目的的操作，那将是有效的。

一段时间以来，他们的工作值得所有赞扬，但是在12月，我需要获得新证书，然后突然遇到了许多困难。此外，裸露的事实：

为了根据带有证书请求的方案生成密钥对，客户端需要在计算机上安装相当重的软件（100 Mb），并需要与该软件进行交互的浏览器插件。通常，在其他CA中会发布一个可以离线工作的小型实用程序。或者也可以在浏览器中完成，加载页面后，您可以关闭Internet并离线进行所有操作。对于Tensor而言，这是无法完成的-在生成密钥对的整个过程中，在浏览器中，您需要连接到Internet。最后，该软件独立地向CA发送证书请求。用户本身不会看到请求文件。
( ) 2019-, , «» - . , , , .
, , . .
, , - , .

揭露事实的模式。进一步我的推理。

我们回想起上面的论点，即如果您什么都不做，那么智能媒体就可以工作。因此，有一种（邪恶的）故意尝试禁用此功能。做什么的？我们记得上面的第一个事实。生成密钥时只能在线进行工作。该软件将证书请求发送到CA。只是吗？没有简单的机会检查发送给CA的其他内容，没有-交换已加密。但是，没有什么可以阻止将证书请求和密钥本身一起发送。毕竟，通过禁止所有“智能”密钥载体，该软件现在有机会检索新生成的私钥并将其发送给CA（或其他人）。

更新：收到了非常有趣的评论。

更新2：：同样有趣的评论

Tensor认证中心可能会破坏客户私钥

More articles: