Что означает «экспорт секретных ключей» (Makecert -pe)?

Question

Указывая переключатель -pe (используя утилита Makecert), мы делаем приватный ключ экспортируемый.

a) Что это означает? Закрытый ключ является экспортером? Что мы можем скопировать созданный файл .pvk (содержащий закрытый ключ) в другую систему и использовать его там?

b) Если да, то я предполагаю, что .pvk создается только в том случае, если нужно экспортировать закрытый ключ ?! Таким образом, как мы используем/получаем закрытый ключ, когда мы не хотим его экспортировать, и при этом не указывать переключатель –pe при создании сертификата?

спасибо

Answer 1

MakeCert сохраняет закрытый ключ из пары ключей в защищенной зоне локальной машины. Если закрытый ключ не помечен как экспортируемый, система не разрешит кому-либо экспортировать этот закрытый ключ в переносимый файл сертификата, который можно скопировать или установить на другой компьютер.

Это означает, что если вы не укажете опцию командной строки -pe для MakeCert, созданный сертификат может использоваться только для дешифрования данных на этом компьютере. Открытый ключ может быть передан другим пользователям для шифрования данных, но только этот компьютер может дешифровать эти данные с помощью закрытого ключа.

Это хорошая вещь для максимальной безопасности. Пользователь машины или сетевой злоумышленник не может украсть закрытый ключ, просто экспортировав его в файл и убедясь с файлом.

Однако, это не самый удобный для удобства использования. Если вы собираетесь использовать несколько машин для дешифрования данных, зашифрованных с помощью открытого ключа, вам нужно будет создать ключ с экспортируемой опцией, чтобы вы могли экспортировать пару открытого и закрытого ключей и установить их на других компьютерах, которые вы хотите расшифровать данные на.