Impede a cópia (exportação) da chave privada de uma máquina para outra?

Question

Impede a cópia (exportação) da chave privada de uma máquina para outra?

#1 resposta do (4 votos)
#2 resposta do (0 votos)

4

Estamos pensando em usar certificados digitais para verificar se a máquina conectada ao nosso serviço de VPN é, de fato, uma máquina da empresa. Por isso, um dos meus colegas de trabalho mencionou que, para um usuário qualificado (e nossos usuários são, na maioria, PhDs CompSci), seria trivial copiar as chaves cert para outro sistema que não é da empresa e que elas desejam usar. Minha pergunta é (e eu procurei no Serverfault primeiro :) existe alguma maneira de impedir que o usuário copie (exportando) os keypairs para outra máquina? Ou tornar inválido o certificado copiado se o fizerem? Nós na TI planejamos ser os que instalam os certs nas máquinas, mas nossos usuários precisam ter acesso de administrador às suas máquinas para fazer seu trabalho. Além disso, as máquinas do usuário executam uma combinação de sistemas operacionais Windows, Mac OS X e Linux.

Agradecemos antecipadamente por quaisquer respostas fornecidas ...

certificate

por Will Dennis 14.08.2012 / 21:59

2 respostas

0

Não. Certificados (como todo o resto) são apenas bits. E os bits podem sempre ser copiados.

por 15.08.2012 / 00:23

Tags certificate

Modificando o número de VCPUs em uma VM do VMware Posso misturar dois processadores com uma velocidade de clock diferente em uma placa?

score 4 · Accepted Answer

No software, não, absolutamente não. Mesmo nas janelas, as chaves marcadas como não exportáveis podem ser exportadas com um hack de GUI bem conhecido.

Eu sugeriria usar cartões inteligentes para essa finalidade (em que a chave é armazenada e usada no cartão e geralmente não é divulgada ao computador). Dessa forma, pelo menos, o hacker interno teria que encontrar a senha administrativa para o cartão ou de outra forma, o que é muito menos trivial do que copiar um armazenado em software.

Você também pode considerar usar certificados de computador que codifiquem o nome do host do computador e garantir que o software de autenticação o valide. No entanto, como é geralmente muito fácil alterar os nomes dos computadores, eu sugeriria que isso não ofereceria nenhum benefício.