Здравствуйте Lexey, Вы писали:

L>Здравствуйте Arkadiyl, Вы писали:

A>>>>>>Вариант с шифрованием симметричного ключа парой из CSP действительно позволяет хранить ключ где угодно. Вопрос мой связан с желанием переложить контроль доступа к этому ключу на CSP а не заниматься маскировыанием файла или ветви реестра.

L>>>>>А зачем его маскировать? Все равно проку от зашифрованного ключа никакого.

A>>>>Вдарим вопросом на вопрос. А за чем тогда вообще CSP? Была бы DLL, создающая ключи и выполняющая шифрование. Аля

L>>>CSP — это только реализации определенных алгоритмов, не более. То, что они еще и контейнеры предоставляют, так это счастье. В других местах и такое не найдешь. Впрочем, я считаю, что сделали в MS все правильно. Хранит сеансовые ключи в контейнере просто глупо. Во-первых, они на то и сеансовые, чтобы их использовать один раз и выбросить. Во-вторых, как их вообще хранить в контейнере? Ну, private/public пара одна, а сеансовых ключей может быть дофига. Так что для каждого ключа заводить отдельный контейнер?

>>>>PGP. А хочется сделать изящно, смоделировать iKey например, где ключ недоступен.

L>>>Так он и так не будет доступен. Или доступность куска непонятного мусора ты считаешь доступностью ключа?

A>>Я не о стойкости алгоритмов шифрования. Назначение симметричных ключей (кто сказал что они обязаны быть исключительно сеансовыми) может быть любым. Классический пример: ключ шифрования файла, помещаемый в сам файл и шифруемый RSA ключом пользователя.

L>Это и есть почти классический сеансовый ключ. :) Тут сеансом является пересылка файла и ключа вместе с ним (ключевой обмен и передача данных в одном флаконе).

>> А служба "Защищенное хранилище" участвующая в обслуживании системы шифрования (CSP — просто коротко и понятно) ???

L>Что-то я не понял приписку в скобках: CSP=Cryptographic Service Provider, так причем тут "Защищенное хранилище"?

>>Кстати вопрос, а нет ли у Вас наводочки на доки к ней?

L>Смотри DPAPI или Windows Data Protection в MSDN.

Спасибо за наводку :) Нашел на их сайте.

Наверно, можно назвать операцию с таким файлом сеансом, если менять ключ после каждой опреации чтения/записи. Иначе — вопрос в трактовке слова "сеанс". Основа сеансового ключа — это процесс смены его по завершению сеанса (или даже одной операции в рамках сеанса). А так, мелкософт применяет session практически везде, где есть симметричный ключ. Я бы всетаки вернулся к главному моменту: где физически хранятся ключи и в каком виде. Какие методы ограничения доступа к ним применяет ОС и что из них можно использовать для этого самого сеансо-симметричного ключа?



:???: