Re: OT: certifikát na USB disku

[Jindroush]

On 8.1.2018 21:14, Jiri Foldyna wrote:
> Dne 08.01.2018 v 19:17 Jindroush napsal(a):
>> Dobry den,
>> abych si to upresnil:
>>
>> Neni certifikat jen nejaky soubor ulozeny na disku? Tj. vas dotaz je, 
>> jak donutit cizi aplikaci nebo primo windows samy (pokud aplikace 
>> vyuziva Windowsovsky cert store), aby si samy od sebe vyhledaly na 
>> nejakych remote-storage discich soubor s certifikatem a zadani hesla?
>>
>> On 8.1.2018 18:39, Jiri Foldyna wrote:
>>> potřeboval bych nekvalifikovanému uživateli umožnit použití 
>>> kvalifikovaného osobního certifikátu bez nutnosti trvalé instalace na 
>>> počítači. OS je Windows 7 Professional, certifikát (PostSignum) nebyl 
>>> vytvořen jako dedikovaný pro instalaci do kryptografického úložiště. 
>>> Nemá prosím někdo zkušenost s instalací certifikátu do fyzického 
>>> úložiště vytvořeného na USB flash disku (běžného, ne kryptografického 
>>> úložiště na USB tokenu)?
> 
> Dobrý den,
> 
> ano, to je v podstatě ono. Uživatel dostal certifikát od PostSignum ve 
> formě .crt souboru, naimportoval jej do svého počítače a následně 
> vyexportoval pro daší import. Uživatel je lékařka v důchodovém věku, 
> osobní kvalifikovaný certifikát je (díky eReceptu) nucena používat při 
> zástupech a na službách, vesměs v prostředí, kde nemůže být ani řeči o 
> tom, že by měla certifikát importovaný do úložiště v registrech Windows 
> na pracovišti pod kontrolou.
> Pokud jsem to stihl, zařídil jsem pro ně osobní certifikáty na TokenMe 
> (kryptografické úložiště), kde je riziko kompromitování certifikátu 
> podstatně nižší; v tomto konkrétním případě jsem to ale nestihl a tak 
> bych certifikát rád udržel alespoň na hw pod kontrolou uživatele. 
> Představa je taková, že bych chtěl certifikát importovat do uložiště 
> vytvořeného na běžném USB flash disku a toto úložiště zpřístupnit na 
> cílovém počítači tak, aby jej aplikace využívající Windows certifikační 
> mechanismus našla a certifikát dokázala použít. Samosebou, mohu 
> certifikát naimportovat do již zmíněného tokenu, ale zajímalo by mě, 
> jestli je naznačený způsob přes vyměnitelné médium vůbec možný a pokud 
> ano, tak jak :-)

Zkoumal jsem, nenasel jsem zadny zpusob, jak donutit windows, aby si 
samy od sebe zacaly hledat soubor na usb, a stejne by ho akorat natvrdo 
naimportovaly. Existuje moznost mit ho v roaming profilu, ale to zase 
vyzaduje AD, tj. zcela jine pouziti.

Mozna by slo napsat vlastni CSP (cryptography service provider), ale zni 
to tak salene, ze je samozrejme reseni pres ten token jako nejschudnejsi.

V kazdem pripade se domnivam, ze kazdy lekar by mel mit ten cert na 
smartcard/tokenu a s heslem a nosit ho ssebou. Jinak si zacnu pripadat 
jako v dobe, kdy smazkam stacilo ukrast stos tech spravnejch receptu a 
razitko ;)

-- 
Jindroush <jindroush at seznam.cz>