2

Недавно я получил сертификат подписи / шифрования электронной почты S / MIME. Я установил это на свой компьютер с Windows, что, очевидно, потребовало от меня ввода пароля, который я использовал для шифрования сертификата, и запустил Outlook для его проверки. Конечно же, я смог отправить подписанное письмо. Однако меня беспокоило то, что мне никогда не предлагалось вводить пароль. Я предполагаю, что это означает, что когда я устанавливал свой сертификат, Windows расшифровывала сертификат и закрытый ключ и сохраняла его где-либо, либо в виде открытого текста, либо в зашифрованном виде с использованием другого ключа, неявно привязанного к моей учетной записи пользователя.

Лично по соображениям безопасности я хотел бы вводить пароль каждый раз, когда я хотел бы использовать свой сертификат. Возможно ли получить такое поведение в Windows, либо из коробки, либо с помощью какой-то третьей части добавить?

1 ответ1

2

Ваш сертификат был импортирован в хранилище сертификатов Windows, где он хранится в зашифрованном виде с помощью ключа, привязанного к вашей учетной записи Windows (который, в свою очередь, зашифрован вашим паролем для входа в Windows).

Вы можете использовать certmgr.msc для управления сертификатами (смотрите Личные).

Персональные сертификаты могут быть защищены несколькими способами. В XP оба варианта представлены только при импорте из файла PKCS # 12. Вам придется удалить и повторно импортировать сертификат / ключ, чтобы изменить их.

Мастер импорта сертификатов

  • Неэкспортируемый: при импорте сертификата отключите "Пометить этот ключ как экспортируемый". Таким образом, программы все еще могут использовать сертификат для подписи и дешифрования, но они не могут получить доступ к самому закрытому ключу.

  • Надежная защита: при импорте сертификата установите флажок "Включить надежную защиту закрытого ключа". После завершения импорта вам будет предложено выбрать уровень безопасности CryptoAPI.

    Уровень безопасности

    • Средний - Windows будет запрашивать подтверждение каждый раз, когда используется ключ

    • Высокий - вы можете ввести защитный пароль, который Windows будет запрашивать при каждом использовании ключа.

    (По крайней мере, в Windows XP есть небольшая ошибка: вы должны выбрать "Высокий", чтобы изменить поле "описание" из закрытого ключа CryptoAPI по умолчанию. Однако это не влияет на реальную безопасность.)

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .