Où sont stockées les clés privées des certificats dans Windows 7?


12

En utilisant l' certmgr.mscutilitaire, je peux accéder au magasin de certificats Windows, mais je ne parviens toujours pas à savoir où Windows stocke les clés privées.

Par exemple, pour un certificat donné, Windows m'indique qu'une clé privée est associée à ce certificat. Mais où puis-je le trouver physiquement?

Réponses:


14

Les clés sont stockées via l' API de cryptographie de Microsoft: nouvelle génération (CNG).

Emplacements de stockage:

  • Utilisateur privé:
    %APPDATA%\Microsoft\Crypto\Keys
  • Système local privé:
    %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\SystemKeys
  • Service local privé:
    %WINDIR%\ServiceProfiles\LocalService
  • Service réseau privé:
    %WINDIR%\ServiceProfiles\NetworkService
  • Privé partagé:
    %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\Keys

La description:

Le CNG fournit un modèle de stockage de clé privée qui permet de s'adapter aux demandes actuelles et futures de création d'applications qui utilisent des fonctionnalités de cryptographie telles que le chiffrement de clé publique ou privée, ainsi qu'aux exigences de stockage de matériel clé. Le routeur de stockage de clés est la routine centrale de ce modèle et est implémenté dans Ncrypt.dll. Une application accède aux fournisseurs de stockage de clés (KSP) sur le système via le routeur de stockage de clés, qui masque des détails, tels que l'isolement des clés, à la fois de l'application et du fournisseur de stockage lui-même. L'illustration suivante montre la conception et la fonction de l'architecture d'isolation de clé CNG. La source
Architecture de stockage des clés

Remarque :

Comme l'a noté Tim G, les clés ne sont pas lisibles au niveau du fichier car elles sont cryptées en cours de stockage via l'API CNG.


4
Ces emplacements clés sont corrects, mais j'ai un point à souligner / à clarifier: les services d'isolation des clés Windows masquent les clés, de sorte qu'elles ne sont pas lisibles au niveau de l'utilisateur ou de l'administrateur à partir du système d'exploitation en l'état. (Ils sont visibles sous forme de fichiers dans l'Explorateur, mais vous ne pouviez pas vider leur vrai contenu dans une visionneuse hexadécimale ou en laid ASCII dans le bloc-notes - ce serait toujours laid ASCII, mais pas la vraie représentation comme dans les systèmes Unixoid.)
Tim G

@TimG Pouvez-vous m'indiquer une documentation décrivant cette obscurcissement? (Je me rends compte qu'il est un peu tard, mais je peux espérer ...)
Martin Bonner soutient Monica
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.