Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.08.2011(UTC) Сообщений: 81
Поблагодарили: 2 раз в 2 постах
|
Добрый день, подскажите, пожалуйста, появился новый считыватель директория. В чем отличие от реестра и куда записываются ключи?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,383 Сказал «Спасибо»: 53 раз Поблагодарили: 776 раз в 718 постах
|
Автор: irina-chebakova Добрый день, подскажите, пожалуйста, появился новый считыватель директория. В чем отличие от реестра и куда записываются ключи? Здравствуйте. 1) Отличие от реестра: хранение в виде папки с файлами на жестком диске (формат ключевого контейнера аналогичен формату на флеш-накопителе или на несистемном разделе жесткого диска). 2) Место расположения: Код:C:\Users\<username>\AppData\Local\Crypto Pro\
|
|
2 пользователей поблагодарили Александр Лавник за этот пост.
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.11.2009(UTC) Сообщений: 12
|
Всем добрый день!
В последнем релизе появилась Directory, работает. Только профиль пользователя не достаточно надежен. Есть ли возможность переопределить место хранения таких ключей?
спасибо
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз Поблагодарили: 215 раз в 174 постах
|
Автор: Gri_V Всем добрый день!
В последнем релизе появилась Directory, работает. Только профиль пользователя не достаточно надежен. Есть ли возможность переопределить место хранения таких ключей?
спасибо Добрый день. Уточните, пожалуйста, что значит "недостаточно надежен"? Доступ к данной ветке защищен системой разграничения прав операционной системы. Также замечу, что ключи шифруются на ПИНе контейнера. Если вас настораживает, что такой носитель не является съемным, то можно создавать ключи на флешке. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.01.2017(UTC) Сообщений: 219 Откуда: Санкт-Петербург Сказал(а) «Спасибо»: 11 раз Поблагодарили: 41 раз в 40 постах
|
Автор: Агафьин Сергей Уточните, пожалуйста, что значит "недостаточно надежен"? Наверно, имеется в виду, что вредоносное ПО, запущенное от имени пользователя может получить доступ к данным файлам. Кстати, а где хранится ПИН-код контейнера? В той же директории? А "переопределить место хранения" - это создать специальную папочку для хранения, защитив доступ отдельным паролем. Т.к. пользователи очень любят ставить галочку "запомнить пароль". Для паранойи. Можно ли менять имена файлов ЭП для затруднения их поиска вирусом? |
Цена свободы - вечная бдительность! |
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,691 Сказал «Спасибо»: 500 раз Поблагодарили: 2044 раз в 1585 постах
|
Автор: nikolkas_spb Автор: Агафьин Сергей Уточните, пожалуйста, что значит "недостаточно надежен"? Наверно, имеется в виду, что вредоносное ПО, запущенное от имени пользователя может получить доступ к данным файлам. Кстати, а где хранится ПИН-код контейнера? В той же директории? А "переопределить место хранения" - это создать специальную папочку для хранения, защитив доступ отдельным паролем. Т.к. пользователи очень любят ставить галочку "запомнить пароль". Для паранойи. Можно ли менять имена файлов ЭП для затруднения их поиска вирусом? А при хранении в реестре? Тоже может. |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз Поблагодарили: 215 раз в 174 постах
|
Автор: nikolkas_spb Автор: Агафьин Сергей Уточните, пожалуйста, что значит "недостаточно надежен"? Наверно, имеется в виду, что вредоносное ПО, запущенное от имени пользователя может получить доступ к данным файлам. Кстати, а где хранится ПИН-код контейнера? В той же директории? А "переопределить место хранения" - это создать специальную папочку для хранения, защитив доступ отдельным паролем. Т.к. пользователи очень любят ставить галочку "запомнить пароль". Для паранойи. Можно ли менять имена файлов ЭП для затруднения их поиска вирусом? ПИН нигде не хранится, он используется для шифрования ключа. Когда пользователь при открытии контейнера его предъявляет, провайдер выводит из ПИН-а ключ шифрования, расшифровывает ключ и проверяет, совпадает ли открытый ключ результатами с ожидаемым. Так что при использовании стойкого ПИН-а утекшие ключи будут по-настоящему скомпрометированы очень нескоро. Если мы говорим о вредоносном ПО, то предложенные вами решения никакой безопасности не добавят. Поиск ключей займет в реальности секунды, где бы они ни лежали. Нужно закрывать угрозы полноценно, а не эвристиками. Боитесь утечки ключей с жесткого диска - запишите их на флешку. Боитесь вредоноса, который их может прочитать - используйте токены. Боитесь вредоноса, который умеет слушать канал к токену, - берите ФКН. Если пользователь нажимает "сохранить пароль", он понимает, что создаваемое "удобство" может иметь и обратную сторону. Если администратор безопасности боится, что пользователи не понимают, то он может запретить сохранение паролей через групповую политику. Отредактировано пользователем 20 декабря 2019 г. 14:27:08(UTC)
| Причина: Не указана |
|
3 пользователей поблагодарили Grey за этот пост.
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.01.2017(UTC) Сообщений: 219 Откуда: Санкт-Петербург Сказал(а) «Спасибо»: 11 раз Поблагодарили: 41 раз в 40 постах
|
Автор: Андрей Писарев А при хранении в реестре? Тоже может. Для этого, как я понимаю, необходимы права администратора. Если пользователь не подхватит что-то жесткое, ломающее систему, утечки можно избежать. А хранение файлов в другой папке, под своим паролем, позволит избежать ситуации, когда пароль пользователя известен всем, машина осталась с включенным сеансом пользователя, или кто-то лезет по сети. Ну т.е. для доступа к файлам нужен пароль администратора системы. Да, паранойя, да, нравится. |
Цена свободы - вечная бдительность! |
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз Поблагодарили: 215 раз в 174 постах
|
Автор: nikolkas_spb Автор: Андрей Писарев А при хранении в реестре? Тоже может. Для этого, как я понимаю, необходимы права администратора. Если пользователь не подхватит что-то жесткое, ломающее систему, утечки можно избежать. А хранение файлов в другой папке, под своим паролем, позволит избежать ситуации, когда пароль пользователя известен всем, машина осталась с включенным сеансом пользователя, или кто-то лезет по сети. Ну т.е. для доступа к файлам нужен пароль администратора системы. Да, паранойя, да, нравится. Ключи в Реестре также хранятся в пользовательских ветках и защищены системой разграничения прав. Если вы хотите, чтобы ключи лежали в папке с правами администратора, создавайте их с признаком "Локального компьютера" (CRYPT_MACHINE_KEYSET). Тогда они попадут в другую папку: "C:\Users\All Users\Crypto Pro\Crypto" |
|
1 пользователь поблагодарил Grey за этот пост.
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.11.2009(UTC) Сообщений: 12
|
Всем добрый день!
Немножко уточню. Для меня профиль пользователя (в том числе и реестр) не надежен потому, что если с компьютером (у нас это виртуальные машины) возникают технические проблемы, мне проще его переинсталлировать. Соответственно есть риск потерять подпись. Также у меня один и тот же пользователь со своей подписью может работать на нескольких виртуальных машинах. Поэтому и хотелось бы хранить подпись пользователя вне привязки к профилю на локальном компьютере. Самое простое здесь например, это homeshare пользователя на файловом сервере.
С уважением, Василий
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close