Мы рассматриваем возможность использования цифровых сертификатов, чтобы убедиться, что машина, подключающаяся к нашей службе VPN, на самом деле принадлежит компании. Итак, один из моих коллег упомянул, что для знающего пользователя (а наши пользователи в большинстве своем являются докторами наук по CompSci) было бы тривиально скопировать ключи сертификата в другую систему, не принадлежащую компании, которую они хотят использовать. Мой вопрос (и я сначала искал на Serverfault :) есть ли способ запретить пользователю копировать (экспортировать) пары ключей на другой компьютер? Или сделать скопированный сертификат недействительным, если они это сделают? Мы в ИТ планируем устанавливать сертификаты на машины, но нашим пользователям действительно нужен доступ администратора к своим машинам для выполнения своей работы. Кроме того, на компьютерах пользователя работают операционные системы Windows, Mac OS X и Linux.
Заранее благодарим за предоставленные ответы ...
В программном обеспечении нет, абсолютно нет. Даже в Windows ключи, отмеченные как неэкспортируемые, могут быть экспортированы с помощью хорошо известного хака графического интерфейса.
Я бы предложил использовать для этой цели смарт-карты (в которых ключ хранится и используется на карте и обычно не передается компьютеру). Таким образом, по крайней мере, внутренний хакер должен будет найти административный пароль для карты или иным образом взломать его, что намного менее тривиально, чем копирование пароля, хранящегося в программном обеспечении.
Вы также можете рассмотреть возможность использования компьютерных сертификатов, которые кодируют имя хоста компьютера, и убедиться, что ваше программное обеспечение для аутентификации проверяет его. Однако, поскольку, как правило, довольно легко изменить имена хостов компьютеров, я бы предположил, что это не принесет никакой пользы.
Нет. Сертификаты (как и все остальное) - это просто биты. И биты всегда можно скопировать.