- PR -

Windowsパッチファイルの検証方法はあるのでしょうか

投稿者投稿内容
ほむら
ぬし
会議室デビュー日: 2003/02/28
投稿数: 583
お住まい・勤務地: 東京都
投稿日時: 2003-10-22 17:07
ども、ほむらです。
僕の記憶ではVerisignなどの認証機関から得たデジタル署名と
自分で作ったデジタル署名は別物で真似してもできなかったような気がするのですが。。。

#EasyCertを使用したときの記憶ですが^^;;;;
#識者の方へるぷ(笑
ヒデ
ベテラン
会議室デビュー日: 2002/12/12
投稿数: 76
お住まい・勤務地: 横浜
投稿日時: 2003-10-23 09:11
引用:

樫田さんの書き込み (2003-10-22 16:52) より:
つまり、ローカルCAなどを構築して"一見信頼できる"鍵を作成することにより、
簡単に署名が可能です。この鍵が信頼できるものかどうかはまさにPKIの領域ですが、
そもそもこのシナリオを理解していない人を誘導して騙すのは、容易です。



IE には、
 『信頼されたルート証明機関』とか『中間証明機関』が予め登録されており、
 (試したことはありませんが)登録されていない認証局の発行したデジタル署名の場合は、
 警告が発せられるはずです。

ですから、IEでダウンロードする限り、ローカルCAが発行した鍵とは識別が可能なので、
『"一見信頼できる"鍵を作成すること』は非常に困難なことだと思います。
 (もちろん、ローカルなCA を IE にインポートすれば別ですが)

『ファイルをコピーしたり移動したりメディアに記録したり 』する時には
あまり役に立たないかも知れませんが、(注:ダウンロード後の改竄を確認できないため)
Windows Update を用いてダウンロードする場合には、改竄の問題を無視しても
特に問題はないと思います。
樫田
常連さん
会議室デビュー日: 2002/07/18
投稿数: 25
投稿日時: 2003-10-23 09:39
樫田です。すみません、私の説明が悪かったようです。

おっしゃるとおり、信頼された鍵を詐称することは、不可能とは
言わないまでも非常に困難です。私が先に述べた"一見信頼
できる"鍵とは、あらかじめ勝手に作成した認証局を相手の
システムにインストールさせて、その後にデジタル署名の
判別手続き時に、警告やエラーを表示させない方法です。
(ソーシャルエンジニアリングとの組み合わせで"誘導して騙す")

つまり個人で作成したローカルCAが発行した鍵の識別そのものは
可能でも、その識別が何を持って行なわれるかを知らない多くの
一般ユーザであれば、騙すことは容易であると言う意味です。
現実にセキュリティ関係の仕事をしていると、「デジタル署名が
あるから安心」や「HTTPSでやり取りをしているから大丈夫」など
ただの「確認するためのシステム」を、そのまま信頼性の根拠に
してしまうユーザが非常に多いことに気づきます。

ただし私の心配しているシステムそのものの問題よりも、ユーザの
誤用にもとづく脆弱性については、必ずしも今回のパッチファイルと
デジタル署名だけの話ではなく、SSL(ここでは暗号化システムと
してではなく、認証システムとしての利用)と同レベルの脆弱性を
意味するので、こればかりをとりたてて心配する必要もないの
でしょう。

まずは攻撃のシナリオを理解しておくことが、今回のケースでも有効
かもしれません。つまりパッチの検証にsigverifを使用して、検証
する作業の信頼性は、SSLによりサーバ認証を行なう仕組みと同程度の
セキュリティを意味する、ということになるのでしょうか。
BASE
大ベテラン
会議室デビュー日: 2002/03/13
投稿数: 178
投稿日時: 2003-10-23 10:05
ども、BASEです。

ん〜、でも過去に1度マイクロソフトのデジタル証明書の詐称事件もありましたし
https://www.netsecurity.ne.jp/article/1/1847.html

デジタル証明書関連のセキュリティホールもでてるので、
どこまで信用するかも、組織のポリシーによるんでしょうねぇ
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms02-050.asp

最低限HotfixのMD5が確認できるようにはなって欲しいと思いますが、
hotfixもアナウンス無しに更新されている場合もあるようですので、
下手に合っても混乱の元かな?

スキルアップ/キャリアアップ(JOB@IT)