Microsoft Virtual Smart Card vs ECDH_P384

Microsoft Windows

Kísérletezgetek a fentivel

tpmvscmgr.exe create /name OpenVPN /pin prompt /pinpolicy minlen 4 maxlen 8 /adminkey random /generate

Pin kód megad, létrejön a virtuális kártya.

certutil -csp "Microsoft Base Smart Card Crypto Provider" -importpfx openvpn_rsa.p12

Bekéri szépen a pin-t importálja a kártyára a certet, openvpn csatlakozáskor szépen bekéri a pint, csatlakozik, örül. 

Ugyanez ecdh_p384 kulccsal:

certutil -csp "Microsoft Base Smart Card Crypto Provider" -importpfx openvpn_ecdh_p384.p12

Enter PFX password:

CertUtil: -importPFX command FAILED: 0x8009000a (-2146893814 NTE_BAD_TYPE)
CertUtil: A megadott típus érvénytelen.                                                          

Valaki aki otthon van a Windows lelkivilágában rá tudna vezetni , hogy mi baja lehet, vagy, hogy egyáltalán a debugolást hol lehetne elkezdeni?

  • 349 megtekintés

( n.balazs v | 2023. 05. 31., sze – 10:43 )

Szerkesztve: 2023. 05. 31., sze – 10:49

Most nem néztem meg, de szerintem ez a provider nem támogatja az EC-s kulcsokat.

Milyen oprendszer Windowson belül?

Szerk.:
"certutil -csplist", illetve a "certutil -csp "provider neve" -csptest" parancsokkal ki tudod íratni a CSP specifikus beállításokat.

Köszi, elvileg a provider tudja:

Provider Name: Microsoft Base Smart Card Crypto Provider

.....

  Asymmetric Algorithms:
    RSA
    DH
    ECDH_P256
    ECDH_P384
    ECDH_P521
    ECDH
    RSA_SIGN
    ECDSA_P256
    ECDSA_P384
    ECDSA_P521
    ECDSA
    DSA

 

Én úgy tippelem a TPM-es virtuális kártyájuk nem tudja, pedig a TPM2 ha jól tudom szintén tudja.

Érdemes lehet még nézelődni az adott provider registry kulcsai között is. Írás a részletes beállításokról: https://learn.microsoft.com/en-us/windows/security/identity-protection/…

Pl: reg query "HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base Smart Card Crypto Provider"

Tipp: Lehet, hogy csak engedélyezned kell a AllowPrivateECDHEKeyImport és a AllowPrivateECDSAKeyImport műveleteket.

Köszi, megpróbáltam de ugyanaz. Közben telepítettem egy opensc-t, az ezt hozza:

opensc-tool.exe --list-algorithms                                                                       

Using reader with a card: Microsoft Virtual Smart Card 1
Algorithm: rsa
Key length: 1024
Flags: onboard key generation padding ( pkcs1 ) hashes ( none )

Algorithm: rsa
Key length: 2048
Flags: onboard key generation padding ( pkcs1 ) hashes ( none )

Algorithm: rsa
Key length: 3072
Flags: onboard key generation padding ( pkcs1 ) hashes ( none )

Algorithm: rsa
Key length: 4096
Flags: onboard key generation padding ( pkcs1 ) hashes ( none )

Ha jól veszem ki nem tudja a virtuális kártyájuk...

Nem egy mai darab 2021-es bios 7th gen i5-ös (Intel PPT) a TPM verziószámánál 2.0-át mutat.

Az OpenSC azt mondja "GIDS Smart Card" a Google arra meg ezt:

GIDS is supposed to support RSA from 1024 to 4096 bits. The minidriver implements only RSA 1024 and RSA 2048. ECC is not implemented in the minidriver.

https://www.mysmartlogon.com/knowledge-base/generic-identity-device-spe…

De lehet ezeréves cikk. Majd később megnézem egy újabb gépen, amiben nem procis TPM van.

( ricsip v | 2023. 05. 31., sze – 10:45 )

Szerkesztve: 2023. 05. 31., sze – 10:45

Ha mikroszoft PKI gubancok vannak, Asteriksz blogja néha szokott segíteni, érdemes alaposan beletúrni:

https://asteriksz.wordpress.com/

nem garantált hogy megtalálod a megoldást, illetve csak ritkán szokott új bejegyzést írni, de azok legalább elég alaposak és belemennek a részletekbe