Servicios de Certificate Server de Windows: ¿Es posible registrar un certificado de SmartCard Y tener el archivo de claves?

5

Estoy usando ACOS5-64 Client Kit, quiero inscribirme para un certificado con archivo de claves. Intenté hacerlo duplicando la plantilla de SmartCard y verifiqué la opción de clave privada de cifrado del sujeto del Archivo como se muestra en la imagen a continuación, pero cuando solicito un certificado bajo esta plantilla, mmc se bloquea.

Así que esto es lo que me pregunto:

  1. ¿Ocurre esto porque el archivo de claves no está permitido en la tarjeta inteligente y el CSP que estoy usando?

  2. ¿Existen tarjetas inteligentes y CSP que permitan el archivado de claves?

Captura de pantalla: creando una plantilla de SmartCard con archivo de claves:

Capturadepantalla:aquíestáelerrorenelvisordeeventoscuandolaMMCsebloquea:

Actualización:enocasiones,mmcnosebloqueóylasolicituddecertificadofallódebidoaesteproblema:"Se especificó un tipo no válido"

Captura de pantalla: error en la solicitud de certificado

    
pregunta Majdoleen 01.10.2015 - 13:17
fuente

1 respuesta

3

El CSP del lado del cliente (el CSP de tarjeta inteligente en este caso) debe admitir el archivo de claves para que funcione el archivo de claves:

  

Compatibilidad con CSP para operaciones de archivado clave   Para poder transmitir y archivar de forma segura las claves privadas, los CSP en las CA y equipos miembros del dominio deben ser compatibles con el cifrado simétrico y asimétrico. Además, se requiere asistencia para generar claves exportables , ya sea enviando manualmente una solicitud de certificado y seleccionando la opción para permitir la exportación de la clave o utilizando el indicador CRYPT_ARCHIVABLE con la función CryptGenKey durante la generación de claves programáticas.

Fuente: Solución de problemas de archivado y recuperación de claves

La idea de las tarjetas inteligentes (frente al almacenamiento de claves privadas del software) es que la clave privada nunca abandona la tarjeta. Sin embargo, según el autoritario Brian Komar, los CSP de tarjetas inteligentes pueden admitir el indicador CRYPT_ARCHIVABLE:

  

Si falla una tarjeta inteligente, las claves privadas de cifrado almacenadas en la tarjeta inteligente se pierden. Si el proveedor de servicios criptográficos (CSP) de tarjetas inteligentes admite el archivo de claves (a través de la habilitación del indicador CRYPT_ARCHIVABLE ), la clave privada se archiva en la CA emisora.

Fuente: Libro de seguridad de PKI y certificados de Windows Server 2008

Dicho esto, recomendaría encarecidamente no exportar la clave privada de la tarjeta inteligente en primer lugar, ya que esto socava la seguridad proporcionada por una solución que utiliza tarjetas inteligentes.

No sé cuáles son sus requisitos, pero en términos generales existen dos funciones para los certificados: firma y cifrado.

Si está utilizando el certificado de su tarjeta inteligente para el cifrado de datos, puede que sea mejor archivar o hacer una copia de seguridad de la clave de cifrado simétrica utilizada para cifrar los datos. Esto podría lograrse mediante el uso de un certificado de 'Recuperación de datos' también almacenado en una tarjeta inteligente, que se utiliza para cifrar copias de respaldo de la clave de cifrado simétrica. El sistema de archivos de cifrado de Microsoft heredado es un ejemplo bien documentado de un sistema que funciona de esta manera.

Si está utilizando el certificado de su tarjeta inteligente para la firma (autenticación del cliente, firmas digitales, etc.), le recomendaría nuevamente evitar el archivado de claves por completo:

  

Las claves privadas que se usan para firmar nunca deben archivarse o recuperarse porque el potencial de que más de una persona posea y use una clave privada introduce problemas de no repudio.

Fuente: Administración y archivo de claves PKI de los Servicios de certificación de Active Directory

    
respondido por el Andrew 17.10.2016 - 10:34
fuente