Возможно, удостоверяющий центр компании Тензор компрометирует приватные ключи клиентов
Вышеизложенное в этой статье является моим суждением, но читателям предлагается объективно оценить факты.
Tensor_sbis имеет свой собственный удостоверяющий центр Верификационные сертификаты выдаются ключа электронной подписи Физические и юридические лица. Для тех, кто только начинает строить дом электронная подпись Новичок, небольшое вступление. Сохранение. ключей электронной подписи Как правило, это делается одним из четырех способов
В файл на диске (или в реестре) - наименее безопасный вариант
С "тупой" средней клавишей, где ваш ключ Защита PIN-кодом - носитель надежно защищен.
С носителями, оснащенными "умным" ключом, поскольку носитель знает, как выполнить операцию шифрования отдельно. приватный ключ она никогда не покидает пределов СМИ.
Какое-то время они работали очень хорошо, но в декабре мне понадобился новый сертификат, и неожиданно пришлось купить один. получить Новый сертификат, и здесь я неожиданно столкнулся с рядом трудностей. Вот голые факты:.
Для создания пары ключей в схеме запроса сертификата клиенту Вам необходимо установить на свой компьютер довольно тяжелое программное обеспечение (100 Мб) и дополнительный браузер для взаимодействия с этим программным обеспечением. Обычно другие ЦС предоставляют небольшую утилиту, позволяющую работать в автономном режиме. Также это можно сделать с помощью браузера. После загрузки страницы вы можете отключить интернет и делать все в автономном режиме; для Tensor это не представляется возможным. Вы должны находиться в сети, пока весь процесс создания пары ключей выполняется в вашем браузере. Наконец, само программное обеспечение отправляет запрос на сертификат в центр сертификации. Пользователь никогда не видит сам файл запроса.
После повторной установки этой программы в конце декабря 2019 года (обычно она загружается сразу) мы обнаружили, что есть возможность создавать ключей Каким-то образом отключив умный средний ключ, Tensor не смог сделать ничего лучшего, чем изменить настройки реестра всей запущенной машины так, чтобы эта функциональность была потеряна, где бы она ни находилась, включая ранее выпущенные ключи.
Работая с экспертами CryptoPro, мы рассчитали изменения, которым подвергся компьютер. ПО компании Были рассчитаны тензоры и механизмы преодоления. По сообщениям, Crypto Pro также связалась с Tensor по своим каналам и попросила ее не делать этого.
На сегодняшний день компания Tensor обновила свое программное обеспечение. Это означает, что реестр больше не модифицируется тем способом, который был обнаружен ранее, но был найден другой способ проинструктировать криптопровайдеров не использовать хитрые средства при генерации пар ключей.
Вспомните вышеприведенный пост. Умный носитель работает без каких-либо действий. Поэтому существуют (злонамеренные) преднамеренные попытки отключить эту функциональность. Почему; вспомните первый факт, приведенный выше. Создание рабочих мест. ключа возможна Только онлайн. Программное обеспечение отправляет запрос на сертификат в УЦ. Но разве это все? Другого простого способа проверить, что отправляется в УЦ, не существует. Обмен шифруется. Однако заявление на получение сертификата и . сам ключ . Кроме того, отключив все интеллектуальные носители, программное обеспечение не сможет увидеть вновь созданные . приватный ключ CA (или кто-то другой).
Обновление: Получены очень интересные комментарии.
Обновление 2: : не менее интересные комментарии
криптография гост.
электронная подпись
Комментарии