Os certificados “não exportáveis” são uma medida de segurança real ou apenas um teatro de segurança?

Navegue suas respostas
4

Recentemente eu estava trabalhando na recuperação de dados de uma máquina Windows XP inoperante (PSU), que incluía alguns certificados de clientes instalados no IE 6. Eu conectei uma PSU temporária e tentei exportar o certificado, apenas para ser informado que "estes os certificados são marcados como não exportáveis e, portanto, a chave privada não pode ser exportada ".

Eu fiz algumas pesquisas em torno dos intertubes, no entanto os únicos conselhos que eu encontrei foram relacionados a cenários pré-instalação (ou seja, há aparentemente uma opção que você pode verificar durante a instalação para evitar essa situação).

Minhas perguntas seriam:

  • Esta é uma medida de segurança real? Parece-me que você pode simplesmente corrigir a lógica de verificação no IE6 (ou o CryptoAPI) e forçar a exportação do certificado / chave privada
  • Existe uma ferramenta pronta para fazer isso? (para fins de backup, por exemplo)
por Grey Panther 25.12.2009 / 18:02

3 respostas

6

Exportando chaves privadas em certificados que foram marcados como não exportáveis? Que tal uma ferramenta chamada Jailbreak ...

    
por 21.01.2010 / 09:31
1

"Inexportável" significa que a chave privada está inacessível para CryptExportKey() . Pode ser possível corrigir o CryptoAPI na memória, mas não encontrei nenhuma referência a ele.

Também pode haver uma maneira de carregar o registro "hive" em outro sistema e copiar os certificados ou editar o bit "unexportable" ... mas, novamente, isso não acontece no googlenet.

    
por 25.12.2009 / 20:26
0

Atualização:

Existe uma nova versão do mimikatz que também suporta o CNG Export (Windows Vista / 7/2008 ...)

  1. faça o download (e inicie com privilégios administrativos; versão do tronco para a última versão)
  2. privilege::debug (ou não, se você já é um sistema ou alvo apenas CryptoApi)
  3. crypto::patchcng (nt 6) e / ou crypto::patchcapi (nt 5 & 6)
  4. crypto::exportCertificates e / ou crypto::exportCertificates CERT_SYSTEM_STORE_LOCAL_MACHINE

arquivos pfx são senhas protegidas "mimikatz"

Post antigo:

Talvez você possa tentar outra ferramenta com outras funções de chaves privadas: "mimikatz", exporta outras chaves que outras não podem exportar (não exportáveis, protegidas, órfãs, etc.) O "bit" não é alterado no arquivo do sistema, apenas o contexto do programa é alterado :) Por exemplo, um usuário (não administrador) pode exportar suas próprias chaves protegidas / não exportáveis sem direitos particulares.

    
por 20.10.2010 / 01:06

Tags

Como posso definir o uso de mod_proxy_ajp com o Apache e o Tomcat? Uma boa convenção de nome de host para alguns servidores com muitos serviços diferentes?