- PR -

クライアント証明書をエクスポート不可にする方法(除くIE)

投稿者投稿内容
apollo
会議室デビュー日: 2007/03/30
投稿数: 17
投稿日時: 2007-03-30 09:41
初めての投稿です。皆様宜しくお願い致します。
クライアント証明書がブラウザ側に必須となるシステム構築を行っております。
業務要件として
1.配布したクライアント証明書はキー込みでエクスポートさせたくない。
2.システムとして対応ブラウザをなるべく多くしたい
ex.)
win IE(V5.5以降),FireFox(V2以降),Netscape(V7以降)
mac safari(V2以降),FireFox(V2以降),Netscape(V7以降)

色々とWEBを調べまくった結果。下記の情報を得ました。
・IEの場合クライアント証明書発行時(CAサーバの処理)はエクスポート不可
として発行すればダウンロードされたクライアント証明書はキー込みでエクスポート
出来ない。

ご教授頂きたいのは下記事項です。
A.上記の発行を行った場合、IE以外のブラウザでもエクスポート不可と
出来るのでしょうか?
(未確認情報ですがFireFoxは証明書マネージャーのファイルをコピーして
ごにょごにょするとエクスポート出来てしまうらしいというのを聞いた
事があります)
B.エクスポート不可のクライアント証明書発行時にクライアント証明書の中に
エクスポート不可という情報が記述されると考えているのですが
これはRFCレベルで規定されているものなのでしょうか?
pgpのコマンドオプションにそれらしいものがあるのですが
それがクライアント証明書にどうからんで来るのかが判りませんでした。
(pgpについてはよく理解していないのです。)
C.B.がRFCであった場合、前記の各ブラウザは対応しているのでしょうか?

かなりネットサーフィン(死語)して情報を集めたのですが「これだ!」
というページが見つけられませんでした。

何かご存知の方は文書へのリンクだけでも構いませんのでご教授頂ければ幸いです。

PKI調べ始めてもう3ヶ月(それだけやっていた訳ではないですが)ですが、全然初心者
です。質問の仕方及びPKIの知識として不備な点がありましたらズバズバご指摘宜しく
お願い致します。

長文失礼致しました。
だっちょ
大ベテラン
会議室デビュー日: 2006/12/05
投稿数: 115
投稿日時: 2007-03-30 14:20
 Firefoxで行った場合クライアント証明書はexport可能です。
FirefoxではexportするときにSoftware Security Deviceのパスワードが求められるので、これでガードしていると思います。
 証明書自身の情報としてexport不可があるかということについては、CrytoAPIではCRYPT_EXPORTABLEはCryptGenKeyのパラメタでなので証明書自身にはそういった指定はないと思ってます。(聞いたことがない)
 ただし、やったことはないですが、Firefoxにスマートカードの証明書を登録できれば、鍵を取り出せないでしょう。
apollo
会議室デビュー日: 2007/03/30
投稿数: 17
投稿日時: 2007-03-30 14:46
情報ありがとうございます。
なんせ昨日お泊りしても調べがつかなくて「ここにお願いするしかない(涙目)」状態だった
ものですから。...なんてヨタ話はおいといて
CrytoAPIという事は恒例の「Windows独自仕様」という事ですね。
「スマートカードに登録」のくだりはHDDに秘密鍵をおかないのでスマートカードさえ
厳重に管理すれば盗まれないという事でしょうか?
ただ今回の要件はスマートカードを持った(正式の)ユーザがクライアント証明書を
エクスポートするのも禁じる(性悪説)というものなんです。
セキュリティ強すぎ!と思っているのですが...
他の「ぬし」の方も宜しくお願い致します(涙目通り越してもうオウチに帰りたい)。
tof
会議室デビュー日: 2007/02/28
投稿数: 15
お住まい・勤務地: 全国各地
投稿日時: 2007-03-30 15:17
「ぬし」じゃないですが・・・・汗

HDDに秘密鍵を保存する方法(ブラウザに登録)だと、どうしてもエクスポートできてしまいますね。(IEなどではパスワードで保護しているようですが)

だっちょさんの「スマートカード」は言い換えれば「ICカード」ですね。
ICカードに秘密鍵(正確には証明書と秘密鍵PKCS#11形式だったような・・・)が格納されます。
耐タンパ性を備えていれば(通常備えているはず)、秘密鍵は取り出せません。無理に取り出そうとすると中のデータが破壊されるセキュリティがかかっているはずです。

このため、エクスポートは難しい(できない)かと・・・・
もちろんカード自体を盗まれないようにする必要がありますが。

まあ、カードリーダなど別途システムが必要なのがデメリットですが。。。。

ICカード以外にこんなのもあります。
http://www.aladdin.co.jp/etoken/



このような装置やシステムを使用しないで、HDDに保存したい。
けど、秘密鍵はエクスポートさせたくない。
ということでしたら、、、、うーん。

ほかの方助言求めます。


apollo
会議室デビュー日: 2007/03/30
投稿数: 17
投稿日時: 2007-03-30 16:00
情報ありがとうございます。
密やかに「ぬし」の加納さんを期待しておるのですが、多分今は活動時間じゃないですネ。

> ICカード以外にこんなのもあります。
http://www.aladdin.co.jp/etoken/
の中(速攻で読ませて頂きました)では
ワンタイムパスワード機能を統合したトークン
http://www.aladdin.co.jp/etoken/etoken_06_2.html
が良さげですが今の顧客は
「セキュリティの為、クライアント証明書はFD,CDで郵送する。」
(つまりCA局からの証明書ダウンロードなんてさせない)と言う事も
「サポートの手間が増えるのでやりたくない」
なんて言ってくる所なので
「クライアント単位にお金がかかるもの」はなるべく使いたくない
でもセキュリティ要件は厳しい所なんですよ。
うぅ。グチになってしまい申し訳ありません。

「ICカードの秘密鍵は取り出せません」というくだりはPINを入力しても
取り出せないとい事なのでしょうか?

並行してまだ調べているのですがどうやらエクスポートの可否っていうのは
(厳密には)クライアント証明書ではなく、クライアント証明書内に同時に
秘密鍵をエクスポート出来ない様にするという事なのかな?
と眠い頭を叩き起こしながら考え秘密鍵について調べなければと思っています。
(それならばpgpにらしいコマンドオプションがある事もうなずける)

自分でも頑張って調べておりますが皆さん
「だれか助けて下さ〜い」 by セカチュー
という事で宜しくお願い致します。

(万が一)自己解決しましたらこのスレッドに書き込みたいと思います。
実は今日やっている仕事はこれだけでは無かったりする(グチ&泣き)。

BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-03-30 17:29
こんにちは。底は浅いけど判る範囲でコメントします。

引用:
apolloさんの書き込み (2007-03-30 09:41) より:
初めての投稿です。

1.配布したクライアント証明書はキー込みでエクスポートさせたくない。
2.システムとして対応ブラウザをなるべく多くしたい
色々とWEBを調べまくった結果。下記の情報を得ました。
・IEの場合クライアント証明書発行時(CAサーバの処理)はエクスポート不可
として発行すればダウンロードされたクライアント証明書はキー込みでエクスポート
出来ない。


クライアント証明書発行時(CAサーバの処理)はエクスポート不可として発行
これはできないと思います。
正確には、証明書のインポート時にエクスポート不可の形でインポート可能
ということだったと記憶してます。

引用:

ご教授頂きたいのは下記事項です。
A.上記の発行を行った場合、IE以外のブラウザでもエクスポート不可と
出来るのでしょうか?
(未確認情報ですがFireFoxは証明書マネージャーのファイルをコピーして
ごにょごにょするとエクスポート出来てしまうらしいというのを聞いた
事があります)
B.エクスポート不可のクライアント証明書発行時にクライアント証明書の中に
エクスポート不可という情報が記述されると考えているのですが
これはRFCレベルで規定されているものなのでしょうか?
pgpのコマンドオプションにそれらしいものがあるのですが
それがクライアント証明書にどうからんで来るのかが判りませんでした。
(pgpについてはよく理解していないのです。)
C.B.がRFCであった場合、前記の各ブラウザは対応しているのでしょうか?


A.Windows上では(多分)無理かと思われます。
 Windowsアプリは基本的に障害時対応用にバックアップ可能なことが設計思想に
 あるケースが多いです。
B.この部分は判りません。orz
C.Aの回答に準じるとお考え下さい。
 IEが例外的な運用(バックアップ不可)をサポートしているという意味です。

「ぬし」の加納さんでなくて申し訳ないwww
apollo
会議室デビュー日: 2007/03/30
投稿数: 17
投稿日時: 2007-03-30 17:59
情報ありがとうございます。(毎回同じ書き始めですいません。)
>底は浅い
ハンドルネームから推察しますとご謙遜だと思いますが。

>正確には、証明書のインポート時にエクスポート不可の形でインポート可能
>ということだったと記憶してます。
という事はブラウザの機能(仕様)次第と考えて良いのでしょうか?
証明書のインポートはブラウザ(又は証明書ストアを扱うプログラム)で行うと
思っているのですが...

>C.Aの回答に準じるとお考え下さい。
> IEが例外的な運用(バックアップ不可)をサポートしているという意味です。
なるほどやはりMS独自仕様ですか...
クライアント証明書をエクスポート不可でマルチブラウザなんて夢ですかネ?

>「ぬし」の加納さんでなくて申し訳ないwww
そんな事ございません。指名なんて10年早いですよネ

教えて君ばかりで申し訳ありません。
どなたかpgpがらみの話しで絡んで来て頂けないでしょうか?

みなさんと引用の仕方が違いますが無問題でしょうか?
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-03-30 18:27
引用:
apolloさんの書き込み (2007-03-30 17:59) より:

>正確には、証明書のインポート時にエクスポート不可の形でインポート可能
>ということだったと記憶してます。
という事はブラウザの機能(仕様)次第と考えて良いのでしょうか?
証明書のインポートはブラウザ(又は証明書ストアを扱うプログラム)で行うと
思っているのですが...


PKI基礎講座を見れば想像が付くと思いますが、認証局のシステム機能は証明書の発行のみです。

引用:

>C.Aの回答に準じるとお考え下さい。
> IEが例外的な運用(バックアップ不可)をサポートしているという意味です。
なるほどやはりMS独自仕様ですか...
クライアント証明書をエクスポート不可でマルチブラウザなんて夢ですかネ?


ブラウザの機能に左右される部分が強いので、対応ブラウザを絞り込む以外は
難しいかと思われます。

引用:

どなたかpgpがらみの話しで絡んで来て頂けないでしょうか?


・・・意味がわかりません。
PGPにとっては公開鍵が生命線ですが、これを保障するためのPKI認証(クライアント証明)
それをインポートするブラウザの機能について論じていると思っておりますが・・・。

引用:

みなさんと引用の仕方が違いますが無問題でしょうか?


今見ているWebページの上部にある[FAQ]を見て下さい。

スキルアップ/キャリアアップ(JOB@IT)