0

RSA1024プライベートパブリックエクスチェンジキーペアをMachine-1からMachine-2にエクスポートしたいと思います。XPでcryptoAPIを使用しています。

Machine-1で、キーペアを生成しました。実際にいくつかの実際のデータを暗号化するセッションキーをラップしました。キーコンテナ名は「PAIR1」です。

Machine-2では、セッションキーを秘密キー(Machine-1で生成したもの)でアンラップしたいと思いました。この目的のために、キーペアをMachine-1からMachine-2にエクスポートしたいと思いました。

永続キーをエクスポートする際のセキュリティ上の欠陥を認識しています。

私は何を試しましたか?

キーペアをMachine_1からPKCS#12-pfxファイルとしてエクスポートしました。Machine-2にインポートしたところ、キーコンテナ名が「PAIR1」から「none」に変更されました。私のアプリケーションでは、交換キーペアで正しい秘密キーを選択するために同じコンテナ名が必要です。キーコンテナ名を変更することはできますか?

これは機能しますか?

交換鍵ペアをMachine-2の公開鍵でラップし、Machine-2にインポートします。この場合、キーコンテナ名は同じままですか、それとも変更されますか?これが正しいアプローチかもしれないと思います。

編集済み: このクエリを実行した理由は、セッションキーを交換キーペア(公開キー)でラップし、ラップされたキーと暗号化されたデータをサーバーのメディアに配置したためです。このメディアはさまざまなクライアントを迂回し、サーバーに戻ります。この時点で、ラップされていないセッションキーを使用してデータを復号化します。このアンラッピングには、交換秘密鍵が必要です。私はこれをデモ目的で行っており、マーケティング担当者が鍵交換などを実行することは期待できません。クライアントにセキュリティの側面を示し、マーケティング担当者との設定の手間を減らしたいと考えました。

最後に、キーペアをエクスポートし、Ramsusアプローチが正しい方法ですが、必要な場所に同じものをインポートしました。

4

1 に答える 1

1

これを行う正しい方法は、machine-2でキーペアを生成し、公開鍵のみをエクスポートし、これをmachine-1に転送し、それを使用してセッションキーをラップすることです。

PKCS#12ファイルをどのようにエクスポートおよびインポートしましたか?Windowsは通常、PKCS#12ファイル内に独自の拡張子としてキーコンテナ名を追加するため、残りのキーペアと一緒に転送する必要があります。

于 2009-11-26T08:00:17.157 に答える