Полезная информация

Многие проблемы быстрее решаются поиском по форуму и чтением FAQ, чем созданием новой темы и томительным ожиданием ответа.

№112-08-2006 10:43:13

Вий
Участник
 
Группа: Members
Зарегистрирован: 29-04-2005
Сообщений: 117

Устройства хранения сертификатов

Чем отличается устройство хранения сертификатов «PSM Internal FIPS -140-1 Cryptogr» от устройства «Software Security Device».
Почему когда я нажал на кнопку «Использовать FIPS» в настройках устройств защиты, то устройство «Software Security Device» исчезло, передав свои функции (вместе с паролем) устройству «PSM Internal FIPS -140-1 Cryptogr».
Какое устройство хранения считается более надежным и в чем особенности того и другого устройства?


ASP Linux

Отсутствует

 

№213-08-2006 06:25:24

Вий
Участник
 
Группа: Members
Зарегистрирован: 29-04-2005
Сообщений: 117

Re: Устройства хранения сертификатов

Еще один вопрос появился. Удалаю сертификат из закладки личных серотификатов (жму кнопку "удалить", появляется предупреждение, с которым я соглашаюсь и т.д и т.п.). Сертификат исчезает. Жму ок для выхода из окна и т.д. При следующем входе сертификат вновь оказывается на месте! Пробовал перезагружать Firefox - не помогло. В чем может быть дело?

Отредактировано Вий (13-08-2006 06:27:33)


ASP Linux

Отсутствует

 

№313-08-2006 10:40:31

Вий
Участник
 
Группа: Members
Зарегистрирован: 29-04-2005
Сообщений: 117

Re: Устройства хранения сертификатов

Считаю, что в Firefox не доработано хранилище сертификатов.
1.    При импорте сертификата нет возможности указать конкретное хранилище (выносных аппаратных хранилищ у меня нет). В Firefox несколько хранилищ, но помещается сертификат в одно из них без вопроса о том, в какое из них его поместить.
2.    Нет возможности хранить закрытый ключ сертификата в зашифрованном виде. Даже если я импортирую сертификат у которого закрытый ключ зашифрован (после экспорта из IE с указанием опции шифрования закрытого ключа) то после для его применения мне нужно лишь указать пароль к хранилищу. Пароль к приватному ключу спрашивается лишь при операции импорта и после сохраняется в хранилище в незашифровнном виде. Считаю это потенциальной уязвимостью, т.к. в процессе работы в Интернет хранилище приходится открывать для использования на сайтах, в которых нужна авторизация.
3. Нет возможности экспорта сертификата с зашифрованием приватной части ключа, а так же отдельно открытого ключа.

Отредактировано Вий (13-08-2006 10:56:01)


ASP Linux

Отсутствует

 

№413-08-2006 16:07:44

lakostis
Administrator
 
Группа: Administrators
Откуда: /dev/urandom
Зарегистрирован: 07-10-2004
Сообщений: 1302
Веб-сайт

Re: Устройства хранения сертификатов

Вий

Чем отличается устройство хранения сертификатов «PSM Internal FIPS -140-1 Cryptogr» от устройства «Software Security Device».
Почему когда я нажал на кнопку «Использовать FIPS» в настройках устройств защиты, то устройство «Software Security Device» исчезло, передав свои функции (вместе с паролем) устройству «PSM Internal FIPS -140-1 Cryptogr».
Какое устройство хранения считается более надежным и в чем особенности того и другого устройства?

FIPS - это Federal Information Processing Standart, набор документов от NIST (National Institute of Standarts and Technology), которые регламентируют работу с информацией, в т.ч. ее шифрование и электронную подпись. Например, FIPS-140 - Стандарт требований безопасности для криптографических модулей. Грубо говоря, это такой америкосский ГОСТ :) Согласно документации к NSS, для FIPS у них есть отдельная версия и/или token для хранения, т.к. Netscape начал заниматься этим раньше появления документов от NIST. Если говорить о надежности/криптостойкости, то сейчас уже выбор FIPS/неFIPS не так важен, т.к. по наборам cipher suite они не так сильно различаются, разве FIPS чуть пожестче.

Еще один вопрос появился. Удалаю сертификат из закладки личных серотификатов (жму кнопку "удалить", появляется предупреждение, с которым я соглашаюсь и т.д и т.п.). Сертификат исчезает. Жму ок для выхода из окна и т.д. При следующем входе сертификат вновь оказывается на месте! Пробовал перезагружать Firefox - не помогло. В чем может быть дело?

Возможно, какие проблемы с правами на запись в хранилище. Под чем смотрите (Windows/*NIX)?

1.    При импорте сертификата нет возможности указать конкретное хранилище (выносных аппаратных хранилищ у меня нет). В Firefox несколько хранилищ, но помещается сертификат в одно из них без вопроса о том, в какое из них его поместить.

А вот если бы было, то спросил. Просто в NSS использует токен в качестве хранилища ключей, даже если это закладки :)
PS Что-то я про #PKCS11 проглючил.

2.    Нет возможности хранить закрытый ключ сертификата в зашифрованном виде. Даже если я импортирую сертификат у которого закрытый ключ зашифрован (после экспорта из IE с указанием опции шифрования закрытого ключа) то после для его применения мне нужно лишь указать пароль к хранилищу. Пароль к приватному ключу спрашивается лишь при операции импорта и после сохраняется в хранилище в незашифровнном виде. Считаю это потенциальной уязвимостью, т.к. в процессе работы в Интернет хранилище приходится открывать для использования на сайтах, в которых нужна авторизация.

храните ключи в аппаратном токене :)

3. Нет возможности экспорта сертификата с зашифрованием приватной части ключа, а так же отдельно открытого ключа.

Ну это ограничение XUL обвязки над NSS. Можно поискать в bugzilla, возможно уже там кто-то это спрашивал.

Отредактировано lakostis (13-08-2006 19:20:34)


Все микробы умрут

Отсутствует

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]