Статус: Участник
Группы: Участники
Зарегистрирован: 29.09.2015(UTC) Сообщений: 17 Откуда: Ижевск Сказал(а) «Спасибо»: 3 раз
|
Здравствуйте! Интересует безопасность хранения закрытых ключей на iOS-устройствах. Согласно этой статье https://habr.com/ru/company/agima/blog/340580/ ключи хранятся в доступной извне папке /private/var/root/Documents/cprocsp/keys в случае указания в коде USE_CACHE_DIR = false. Так становится доступен импорт ключей в эту папку простым копированием контейнера. Если же использовать USE_CACHE_DIR = true, то ключи будут храниться в закрытой папке /private/var/root/Library/Caches/cprocsp/keys/ Есть ли возможность хранить ключи в закрытой папке, но при этом иметь возможность устанавливать контейнер вида *.000, сформированный на другом устройстве (Windows/iOS и других)? Какая разница в хранении ключа в открытой и закрытой от пользователя папке, с точки зрения безопасности (возможность его скопировать для дальнейшего брутфорса пинкода)? Можно ли дополнительно защитить контейнер в открытой папке кроме того, что он защищён пин-кодом?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,260
Сказал(а) «Спасибо»: 21 раз Поблагодарили: 443 раз в 322 постах
|
Здравствуйте. При хранении ключей на мобильном устройстве к самому устройству применяются требования как к ключевому носителю. То есть вы не можете оставить устройство на столе и выйти из помещения. После такого действия ключи необходимо считать скомпрометированными, либо проводить расследование, чтобы доказать обратное. iOS предоставляет собственные средства защиты данных приложения, которые не имеют правового статуса в нашей стране, но это не мешает ими пользоваться из общих соображений. Разумеется защищённые данные неудобно (или невозможно) читать и записывать внешними средствами. Для переноса контейнеров на мобильные устройства можно воспользоваться транспортным ключевым контейнером (pkcs#12/pfx), это позволит закрыть доступ к папке с ключами. В ближайшее время будет релиз КриптоПро CSP 5.0 H, где "Инструменты КриптоПро" (cptools, https://cryptopro.ru/blo...-graficheskii-interfeis) позволят экспортировать ключевые контейнеры в pfx в виде QR-кодов, которые можно считывать камерой мобильного устройства. Для поддержки этой функциональности мобильное приложение при установке должно регистрировать в системе deep link-и нашего образца и уметь разбирать наш формат упаковки pfx-а в deep link. Примеры кода для Android мы можем дать партнёрам в ближайшее время, на iOS - попозже. Описание формата - сразу. Пин-код - не средство защиты контейнера, а средство аутентификации владельца. Отредактировано пользователем 5 марта 2020 г. 10:45:24(UTC)
| Причина: Не указана |
|
1 пользователь поблагодарил Русев Андрей за этот пост.
|
Ranzed оставлено 11.03.2020(UTC)
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close