http://wiki.winehq.org/iexplore
не подходит?

Забирать сертификат с машины с Оффтопиком и IE нет смысла, т.к. перекинуть его на нужную машину нельзя, т.к. сертификат содержит закрытый ключ и его не получится извлечь из защищённого хранилища сертификатов Оффтопика.

Как такое возможно? Если закрытый ключ можно использовать по назначению, то и просто считать его можно.

P.S. Кроме случаев, когда ключ намертво вшивается в какую-нибудь крипто-железку. Но это не оно.

http://wiki.winehq.org/iexplore

не подходит? «is based on Mozilla Gecko code»

-- Нет. Gecko не поддерживает упоминавшийся ActiveX Control.

Как такое возможно? Если закрытый ключ можно использовать по назначению, то и просто считать его можно.

Экспортирование не экспортирует закрытый ключ. Пробовал. Возможно, что-то делаю не так, но при попытке с помощью openssl сделать pkcs12-сертификат для Firefox, вижу Expecting: ANY PRIVATE KEY. Гуглил. Значит, что закрытого ключа нет.

>Экспортирование не экспортирует закрытый ключ. Пробовал.

я точно не помню... но вроде просто так там только публичный экспортируется. но и секретный тоже как-то вынимается, через какую-то кривую ж-у...

но и секретный тоже как-то вынимается, через какую-то кривую ж-у...

Можно про ж* поподробнее?

>Можно про ж* поподробнее?

прошу прощения, я полный ламо в этой венде. действовал методом тыка. и очень давно. :(

прошу прощения, я полный ламо в этой венде. действовал методом тыка. и очень давно. :(

Ничего страшного.

Их техподдержка уже меня ненавидит (два оператора и манагер). Все меня убеждают, что пользоваться их банком имеют только белые мужчины возрастом более 21 года без порочащих связей (я подхожу) и только с использованием Оффтопика и Осла (это невозможно). Мои аргументы в споре начисто игнорятся. Сейчас их спас конец их рабочего дня.

>и только с использованием Оффтопика и Осла (это невозможно).

и в wine не работает? там что-то было типа IE6... вообще-то, ваши операторы и манажер сами себе роют яму, ибо сознательно отсекают всех людей, кто хоть как-то заботится о безопасности, и доверяет компьютеру хоть какие-то копейки.

Нугуглилось следующее:

• http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_cmprocsexportpriv.mspx?mfr=true
• https://support.comodo.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=1179

и в wine не работает?

Не очень хотел бы часто костылять IE под вайном. Приду домой, попробую установить его.

ваши операторы и манажер сами себе роют яму

Эх, я предвижу очередной крах банка. Жаль, что я буду с ним как-то связан и поменять тяжело. Но как хорошо бы видеть клиентов, отказывающих банку из-за насильного использования IE. А то как-то я не вижу корелляции между технологиями M$ и безопасностью.

Нугуглилось следующее:

Спасибо. Пробую.

>т.к. сертификат содержит закрытый ключ и его не получится извлечь из защищённого хранилища сертификатов Оффтопика.

1. Сертификат не содержит закрытый ключ. Для этого он не предназначен. Сертификат предназначен для хранения и подтверждения подлинности открытого ключа.
2. Кто ж тебя такой умный допустил к хранилищу приватных ключей банка?

Значит, что закрытого ключа нет.

И не будет.

Сертификат, который выдаётся, предназначен для идентификации клиентской машины перед сервером банка, является подчинённым в дереве банковскому CA, и содержит свой закрытый ключ, по крайней мере, как я выяснил. Ключ есть, вот он, но запрещён к экспорту. Шифрованный файл ключа лежит в указанном пути (https://support.comodo.com/index.php?_m=knowledgebase&_a=viewarticle&...

Сертификат ни разу не содержит приватный ключ. Приватные ключи никогда не передаются по открытым протоколам/сетям, а держатся в секрете в локальных хранилищах ключей, так как ими подписываются сертификаты во избежание подделки публичных ключей. Для аутентификации клиента в банковской (и другой жутко безопасной) системе нужен только заверенный CA публичный ключ клиента, содержащийся в подписанном CA сертификате.

Шифрованный файл ключа лежит в указанном пути

Сертификат ни разу не содержит приватный ключ.

Я просто не понимаю, кому из нас должно быть виднее.

> Сертификат ни разу не содержит приватный ключ.

Безотносительно конкретного случая - это неверное, в общем, утверждение. Сертификат может содержать закрытый ключ (и в случае получения описанным ТС способом и с использованием указанных средств точно его содержит), и этот ключ может быть экспортирован, если так указано в шаблоне.

Cyril, спасибо.

и этот ключ может быть экспортирован, если так указано в шаблоне

Что делать, если ключи всего дерева запрещены к экспорту? Гугл мне не помог. Сказано, что «раз нельзя, значит, нельзя». Есть «кулхацкерские тулзы» для оффтопика, но их страшно запускать (мало ли чем заражено).

Боюсь, что ничего. Более того - я подозреваю, что «кулхацкерские тулзы» имеют весьма низкую эффективность и кучу условий, соблюдение которых необходимо для появления хоть каких-нибудь шансов на успех.

WINE, кстати, не поможет - так как не реализует персональное хранилище сертификатов, аналогичное имеющемуся в Windows, насколько я понимаю.

Есть подозрение, что при текущем подходе банка к делу получить сертификат под Linux практически нереально. Проще сменить банк - да и надёжнее, если в текущем работают такие «специалисты».

> WINE, кстати, не поможет
Не помогает, испробовано.

Есть подозрение, что при текущем подходе банка к делу получить сертификат под Linux практически нереально.

Я подозреваю так же.

Проще сменить банк

Я бы с радостью. К сожалению, это сейчас нереализуемо, т.к. туда мне платят зарплату. Лучше обходиться без переводов, т.к. будет комиссия.

Что же делать?

Ну... Наступить на горло собственной песне и поднять Windows в VirtualBox, например. Хотя это то ещё решение. А параллельно - подать в суд на банк. Ж;-)

> поднять Windows в VirtualBox
Уже так и делаю. Т_Т Костыль в третьей степени.

подать в суд на банк

На каком основании? Онлайн-интерфейс не является платной услугой.

> На каком основании? Онлайн-интерфейс не является платной услугой.

В местном отделении ОЗПП подскажут, полагаю... Дискриминация, предоставление услуг ненадлежащего качества и т.п..

Сертификат может содержать закрытый ключ

Ни разу не видел сертификатов, которые содержат закрытый ключ.

Сертификат — это неотъемлемая часть протокола обмена аутентичными публичными ключами, но никак не средство хранения и доставки приватных ключей. Сертификат просто не может быть контейнером их.

Имелось ввиду, что существуют форматы (например PFX), которые допускают хранение сертификата и ключа в одном файле.

> Экспортирование не экспортирует закрытый ключ. Пробовал. Возможно, что-то делаю не так, но при попытке с помощью openssl сделать pkcs12-сертификат для Firefox, вижу Expecting: ANY PRIVATE KEY.

существуют форматы (например PFX), которые допускают хранение сертификата и ключа в одном файле

Стандарт PKCS#12 — как раз оно. Экспорт PKCS#12 сделать нельзя, т.к. ключ не разрешён к экспорту. PKCS7 — пожалуйста, но только публичная часть сертификата.

А если так: http://msdn.microsoft.com/en-us/library/bb204778(v=vs.85).aspx#key_directories_and_files? Там тоже пусто?

> Там тоже пусто?

Шифрованный файл ключа лежит в указанном пути (https://support.comodo.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticl...

Лежит, но зашифрованный в CNG-контейнер.

Осторожно! Пошла тяжёлая артиллерия!

https://media.blackhat.com/bh-eu-11/Jason_Geffner/BlackHat_EU_2011_Geffner_Exporting_RSA_Keys-WP.pdf

> Осторожно! Пошла тяжёлая артиллерия!
Из указанных в статье Previous Works пробовал mimikatz (fail, нет поддержки CNG), Junestam's Jailbreak не пробовал (узнал, что тоже нет CNG).
Читаю далее.

> тяжёлая артиллерия!
Очень умные и хитрые люди не поленились разобрать обфускацию и написать код, который обходит искомый запрет. Ку два раза. Если бы теперь скомпилированный и собранный код найти...

mironov_ivan, спасибо большое за информацию!