Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

4 Страницы«<234
Опции
К последнему сообщению К первому непрочитанному
Offline KDA  
#31 Оставлено : 1 сентября 2020 г. 14:43:56(UTC)
KDA

Статус: Активный участник

Группы: Участники
Зарегистрирован: 12.10.2009(UTC)
Сообщений: 42

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 6 раз в 6 постах
Автор: two_oceans Перейти к цитате
Нисколько не спорю, что в случае КриптоПро велосипед не изобретали и отдали проверку коду Майкрософт, который реализует функционал высокого уровня из базовых низкоуровневых функций. Это отнюдь не значит что высокоуровневые функции не могут быть переопределены криптопровайдером. В CryptoAPI очень много функций, которые можно перегрузить или, как с сожалением приходится признать, "пропатчить" (так как Майкрософт не дает возможность их поменять без патча и даже те самые исходники без патча не заводятся). Поэтому "левый" криптопровайдер может "заодно" пропатчить и код связанный с сертификатами. Что ему помешает?


Пропатчить код может любое ПО с достаточными правами. Но код CSP здесь абсолютно не при чем. Еще раз, смотрим список обязательных функций для экспорта CSP.
Вариативность работы, очевидно, в полном спектре объектов со стороны штатного API Crypt(Encode/Decode)ObjectXXX.
Что касается штатного API поиска сертификата в хранилище по идентификатору (CryptFindCertificateInStore) - там нет ограничений (в отличии от серийного номера) на длину поля. Отладчик/дизассемблер в помощь. Намного лучше, чем абстрактные размышления на тему "как это могло бы быть".


Вообще, меня несколько удивила такая бурная дискуссия на замечание, что идентификатор ключа в уже сделанных кем-то сертификатах надо брать как есть и целиком, а не делать предположений, что там обязательно какой-то хеш или 20 байт.
Пошли аргументы про "левое" и правильное ПО. Чтож, вот то, что сделано с помощью исключительно правильного ПО КриптоПро:
var_keyid_certs.zip (3kb) загружен 5 раз(а).

В аттаче три сертфиката на ОДИН ключ с кастомным содержимым поля subject key identifier длиной 4, 20 и 21 байт.
Наглядная демонстрация, что надо не на ПО надеяться, а голову включать.

И, пожалуйста, не надо больше "все равно это нечестно или нетипично". Софт должен быть расчитан на то, что он работает с частично недоверенными данными. Иначе зачем постоянно подписи на сертификатах проверять и цепочки строить?

Отредактировано пользователем 1 сентября 2020 г. 14:47:24(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
4 Страницы«<234
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.