Backup

“不可出口”的證書是真正的安全措施還是只是安全劇院?

  • August 21, 2017

最近我正在從當機(磚塊 PSU)Windows XP 機器中恢復數據,其中包括一些安裝在 IE 6 中的客戶端證書。我插入了一個臨時 PSU 並嘗試導出證書,卻被告知“這些證書已標記不可導出,因此無法導出私鑰”。

我已經對 intertubes 進行了一些搜尋,但是我能找到的唯一建議與預安裝方案有關(即,顯然有一個選項可以在安裝過程中檢查以避免這種情況)。

我的問題是:

  • 這是真正的安全措施嗎?在我看來,您可以簡單地修補 IE6(或 CryptoAPI)中的驗證邏輯並強制導出證書/私鑰
  • 有現成的工具可以做到這一點嗎?(例如用於備份目的)

導出已標記為不可導出的證書上的私鑰?呃,一個叫做越獄的工具怎麼樣……

“不可導出”意味著私鑰無法訪問CryptExportKey()。可能可以在記憶體中修補 CryptoAPI,但我還沒有找到任何對它的引用。

也可能有一種方法可以在另一個系統中載入系統資料庫“配置單元”並複制證書或編輯“不可導出”位……但同樣,在 googlenet 上沒有這樣的東西。

引用自:https://serverfault.com/questions/97352