Re: Re: account/import certificate

От: Alex Iliynsky <starder_at_mx_ru>
Дата: Fri 11 Oct 2002 - 11:45:04 MSD

> Какие два пароля? Какой Web-Interface? Вы делаете нечто, что каким-то
> образом получает Ваш PrivateKey (ну и Сертификат). Более того, скорее
всего
> вы еще имеете и пароль для этого PrivateKey (тот самый PIN). Далее просто
> шифруете этот PrivateKey обратно (тем самым PIN-ом или отдельно спрошенным
> паролем), и засовываете это в CGatePro при помощи UpdateAccount со своим
> собственным именем и паролем.
>
> При этом пользователь при РАБОТЕ должен, конечно ввести PIN-пароль. Если
Вы
> о том, что это и есть несекурная часть работы, то тогда у Вас, простите,
> только одна альтернатива - пересылать по сети в CGatePro не пароль, а сам
> Private Key, что, как Вы понимаете, намного менее секурно.

Вот почему я и предложил, сделать одноплатформенное решение в виде апплета/контрола, которое, пользуясь виндовым cryptoapi шифровало бы данные и отправляло бы их в приемлимом виде.

> А что несекурно в передаче пароля через HTTPS соединение?
Несекурно не соединение, а компьютер с которого оно производится - никто не даст гарантии, в случае чего-то типа internet-cafe, что там не сидит какой-либо keystroke recorder или аналогичная приблуда для "упрощения работы админов".

> Ну так и используйте это хранилище (то есть Микрософтосвское), плюс
Outlook.
> Кстати, насколько я понимаю, в Микрософте ключи хранятся без пароля -
внутри
> хранилища.

Да с Outlook / Express как раз не вопрос - там и webmime не нужен. Все, о чем я говорил, скорее нужно для внешнего доступа не со своего компьютера. С другой стороны, особого стандарта на смаркарты в интернет кафе и прочих точках нет, так что это скорее теоретические вопросы, нежели практическая потребность.

>
> Все это (WebMIME S/MIME) нужно для того, чтобы Вы могли получить доступ к
> зашифрованной корреспонденции откуда угодно. Если же хочется иметь Public
> Terminal, на котором стоит такой кард-ридер, то боюсь, вся идея секурности
> пойдет лесом - как только Private Key будет считан в Микрософтовское
> "хранилище" на этом терминале - где оно и осядет в чистом виде, и может
быть
> легко вытащено владельцем терминала.

Не, приватные ключи, которые лежат на внешнем устройстве не попадают автоматом в хранилище, но, опять если поставить себе цель, можно после авторизации попробывать втихую экспортировать ключ.. :) Получено Fri Oct 11 07:45:06 2002

Этот архив был сгенерирован hypermail 2.1.8 : Fri 24 Apr 2015 - 16:12:14 MSK