Certificate
防止將私鑰從一台機器複製(導出)到另一台機器?
我們正在考慮使用數字證書來驗證連接到我們的 VPN 服務的機器實際上是公司擁有的機器。因此,我的一位同事提到,對於知識淵博的使用者(我們的使用者大部分是 CompSci 博士),將證書密鑰複製到他們想要使用的另一個非公司擁有的系統是微不足道的。我的問題是(我首先在 Serverfault 上進行了搜尋 :) 是否有某種方法可以防止使用者將密鑰對複制(導出)到另一台機器上?或者如果他們這樣做,使複製的證書無效?我們 IT 計劃成為在機器上安裝證書的人,但我們的使用者確實需要擁有對其機器的管理員訪問權限才能完成工作。同樣,使用者的機器執行 Windows、Mac OS X 和 Linux OS 的混合。
提前感謝您提供的任何答案…
在軟體方面,不,絕對不是。即使在 Windows 中,標記為不可導出的鍵也可以通過眾所周知的 GUI hack 導出。
我建議為此使用智能卡(其中密鑰儲存在卡上並在卡上使用,通常不會向電腦披露)。這樣,至少內部黑客必須找到卡的管理密碼或以其他方式破解它,這比複製儲存在軟體中的密碼要簡單得多。
您還可以考慮使用對電腦主機名進行編碼的電腦證書,並確保您的身份驗證軟體對其進行驗證。但是,由於更改電腦的主機名通常很容易,我認為這幾乎不會帶來任何好處。