Stocker les certificats personnels cryptés dans Windows?

J'ai récemment eu mon propre certificat de signature / chiffrer S / MIME par courrier électronique. J'ai installé cela sur ma machine Windows, ce qui, évidemment, m'a obligé à entrer le mot de passe que j'ai utilisé pour chiffrer le certificat, et j'ai lancé Outlook pour le tester. Bien sûr, j'ai pu envoyer un courrier électronique signé. Ce qui m'a dérangé, cependant, c'est que je n'ai jamais été invité à entrer un mot de passe. Je suppose que cela signifie que, lorsque j'ai installé mon certificat, Windows a décrypté le certificat et la clé privée et l'a stocké quelque part, soit en texte clair, soit en cryptant à l'aide d'une autre clé, implicitement lié à mon compte utilisateur.

Personnellement, pour des raisons de sécurité, j'aimerais avoir à saisir un mot de passe chaque fois que j'aimerais utiliser mon certificat. Est-il possible d'obtenir ce type de comportement dans Windows, soit hors de la boîte, soit en utilisant une troisième partie ajoutée?

Votre certificat a été importé dans Windows Certificate Store, où il est conservé crypté avec une clé liée à votre compte Windows (qui est à son tour crypté avec votre mot de passe de connexion Windows).

Vous pouvez utiliser certmgr.msc pour gérer les certificats (voir sous Personal ).

Les certificats personnels peuvent être protégés de plusieurs façons. Dans XP, les deux options ne sont présentées que lors de l'importation à partir d'un fichier PKCS # 12. Vous devrez supprimer et réimporter le certificat / clé afin de les modifier.

Assistant d'importation de certificat

  • Non exportable : lors de l'importation du certificat, désactiver "Marquer cette clé comme exportable". De cette façon, les programmes peuvent toujours utiliser le certificat pour signer et décrypter, mais ils ne peuvent pas accéder à la clé privée elle-même.

  • Protection forte : lors de l'importation du certificat, cochez "Activer la protection de la clé privée forte". Après avoir terminé l'importation, vous devrez choisir un niveau de sécurité CryptoAPI.

    Niveau de sécurité

    • Moyen – Windows demandera confirmation chaque fois que la clé est utilisée

    • Haut – vous pouvez entrer un mot de passe de protection que Windows demandera chaque fois que la clé sera utilisée.

    (Au moins dans Windows XP, il y a un petit bogue: vous devez choisir "High" afin de modifier le champ "description" de la clé privée CryptoAPI par défaut. Cependant, cela n'a aucun effet sur la sécurité réelle).