Добрый день!

Установлен КриптоПро CSP 5.0.11729.
Я хочу установить сертификат с ключом и защитить его от экспорта.
Импортирую свой PFX-файл в реестр, в хранилище текущего пользователя.
Убедился, что галочка Mark this key as exportable снята, чтобы запретить экспорт ключей:



Задал пароль. Импорт прошел успешно, сертификат и ключ установлен в хранилище.
Теперь проверяю, как работает экспорт: All tasks -> Export.
Провайдер запрашивает пароль от контейнера.



Я нажимаю Отмена, но мастер экспорта все равно появляется.
И опция выгрузки приватного ключа не заблокирована:



По этому поводу два вопроса:

1. Почему при запросе пароля можно нажать Отмена и продолжить экспорт без пароля?
2. Почему опция выгрузки приватного ключа в мастере экспорта не заблокирована?

Спасибо!

Здравствуйте!

Поставил версию 5.0.11732, поведение в точности такое же.

Сделал импорт сертификата с ключом из PFX в реестр, установил пароль.
При запросе пароля можно нажать Отмена и попасть в мастер экспорта.
В мастере экспорта опция выгрузки приватного ключа доступна для выбора:

Записал скринкаст:

>Вы исходный контейнер удалили?

Что вы называете исходным контейнером?

У меня изначально есть один только PFX-файл с ключом и сертификатом.
Он хранится на внешнем носителе, защищен паролем.

Я его импортирую в реестр, в личное хранилище, задаю ему пароль.
При импорте запрещаю возможность экспорта приватного ключа.
Получаю в реестре контейнер с приватным ключом, защищенный паролем.
Вроде бы все правильно?

Но оказывается, что при запросе пароля можно отказаться.
А экспорт приватного ключа все равно работает.

>После создания пароля мастер импорта ещё два раза запросит пин-код. Не нужно отказываться.

Можно ввести только что созданный пароль, а можно отказаться от ввода.
На процесс импорта это никак не влияет, я пробовал оба варианта.
После импорта в личном хранилище оказывается контейнер с ключом, не защищенным от экспорта.

Вот видео, где я не отказываюсь от ввода пароля во время импорта.
На результат это не влияет. Контейнер можно экспортировать в PFX.
И потом он так же точно импортируется:

Отредактировано пользователем 27 мая 2020 г. 15:09:30(UTC)  | Причина: Добавил скринкаст

Проводили эксперимент на другом компьютере, с другой версией ОС и другим пользователем.
Там, собственно, эту проблему обнаружили.
Это уже после я воспроизвел на отдельной виртуалке, чтобы снять этот скринкаст для форума.

На обычных RSA-контейнерах стандартного криптопровайдера проблема не воспроизводится.
Если я удаляю сертификат из хранилища и заново импортирую его без флага Exportable — экспорт будет запрещен.



В системе нет другого контейнера с этим ключом, на который можно было бы его подменить.
Был только PFX-файлик, из которого я импортировал ключ и сертификат.





Похоже, поведение еще интереснее.
Сразу после импорта я смотрю свойства контейнера, выбранного по сертификату.
Вижу, что экспорт ключа запрещен — key export: disallowed (см. 0:28).

Захожу в сертификаты -> All tasks -> Export.
Отказываюсь от ввода пароля, открывается мастер экспорта, экспорт ключа в нем разрешен.

Повторно смотрю свойства контейнера, выбранного по сертификату.
На этот раз вижу, что key export: allowed (см. 1:02)
По-видимому, отказ от ввода пароля сбрасывает запрет на экспорт приватного ключа.

Отредактировано пользователем 27 мая 2020 г. 18:48:45(UTC)  | Причина: Опечатка

А что это означает, поясните пожалуйста?
Если я при экспорте отказываюсь от ввода пароля, то почему создается еще один контейнер, не защищенный паролем?
Как же мне защитить свой приватный ключ от экспорта?

Вот я его импортирую его на чистую машину из PFX-файла.
После этого у меня должен быть один защищенный контейнер, из которого нельзя сделать экспорт, верно?
По факту у меня оказывается контейнер, который не требует ввода пароля, и экспорт ключа из него разрешен.