logo Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Ranzed  
#1 Оставлено : 4 марта 2020 г. 13:46:58(UTC)
Ranzed

Статус: Новичок

Группы: Участники
Зарегистрирован: 29.09.2015(UTC)
Сообщений: 5
Российская Федерация
Откуда: Ижевск

Сказал(а) «Спасибо»: 1 раз
Здравствуйте!

Интересует безопасность хранения закрытых ключей на iOS-устройствах. Согласно этой статье https://habr.com/ru/company/agima/blog/340580/ ключи хранятся в доступной извне папке /private/var/root/Documents/cprocsp/keys в случае указания в коде USE_CACHE_DIR = false. Так становится доступен импорт ключей в эту папку простым копированием контейнера.

Если же использовать USE_CACHE_DIR = true, то ключи будут храниться в закрытой папке /private/var/root/Library/Caches/cprocsp/keys/

Есть ли возможность хранить ключи в закрытой папке, но при этом иметь возможность устанавливать контейнер вида *.000, сформированный на другом устройстве (Windows/iOS и других)?

Какая разница в хранении ключа в открытой и закрытой от пользователя папке, с точки зрения безопасности (возможность его скопировать для дальнейшего брутфорса пинкода)?
Можно ли дополнительно защитить контейнер в открытой папке кроме того, что он защищён пин-кодом?
Offline Андрей Русев  
#2 Оставлено : 5 марта 2020 г. 10:44:27(UTC)
Андрей Русев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 649

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 125 раз в 103 постах
Здравствуйте.
При хранении ключей на мобильном устройстве к самому устройству применяются требования как к ключевому носителю. То есть вы не можете оставить устройство на столе и выйти из помещения. После такого действия ключи необходимо считать скомпрометированными, либо проводить расследование, чтобы доказать обратное. iOS предоставляет собственные средства защиты данных приложения, которые не имеют правового статуса в нашей стране, но это не мешает ими пользоваться из общих соображений. Разумеется защищённые данные неудобно (или невозможно) читать и записывать внешними средствами. Для переноса контейнеров на мобильные устройства можно воспользоваться транспортным ключевым контейнером (pkcs#12/pfx), это позволит закрыть доступ к папке с ключами. В ближайшее время будет релиз КриптоПро CSP 5.0 H, где "Инструменты КриптоПро" (cptools, https://cryptopro.ru/blo...-graficheskii-interfeis) позволят экспортировать ключевые контейнеры в pfx в виде QR-кодов, которые можно считывать камерой мобильного устройства. Для поддержки этой функциональности мобильное приложение при установке должно регистрировать в системе deep link-и нашего образца и уметь разбирать наш формат упаковки pfx-а в deep link. Примеры кода для Android мы можем дать партнёрам в ближайшее время, на iOS - попозже. Описание формата - сразу.

Пин-код - не средство защиты контейнера, а средство аутентификации владельца.

Отредактировано пользователем 5 марта 2020 г. 10:45:24(UTC)  | Причина: Не указана

Официальная техподдержка. Официальная база знаний.
thanks 1 пользователь поблагодарил Андрей Русев за этот пост.
Ranzed оставлено 11.03.2020(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.