Backup
“不可出口”的證書是真正的安全措施還是只是安全劇院?
最近我正在從當機(磚塊 PSU)Windows XP 機器中恢復數據,其中包括一些安裝在 IE 6 中的客戶端證書。我插入了一個臨時 PSU 並嘗試導出證書,卻被告知“這些證書已標記不可導出,因此無法導出私鑰”。
我已經對 intertubes 進行了一些搜尋,但是我能找到的唯一建議與預安裝方案有關(即,顯然有一個選項可以在安裝過程中檢查以避免這種情況)。
我的問題是:
- 這是真正的安全措施嗎?在我看來,您可以簡單地修補 IE6(或 CryptoAPI)中的驗證邏輯並強制導出證書/私鑰
- 有現成的工具可以做到這一點嗎?(例如用於備份目的)
導出已標記為不可導出的證書上的私鑰?呃,一個叫做越獄的工具怎麼樣……
“不可導出”意味著私鑰無法訪問
CryptExportKey()。可能可以在記憶體中修補 CryptoAPI,但我還沒有找到任何對它的引用。也可能有一種方法可以在另一個系統中載入系統資料庫“配置單元”並複制證書或編輯“不可導出”位……但同樣,在 googlenet 上沒有這樣的東西。