- - PR -
Windowsパッチファイルの検証方法はあるのでしょうか
投稿者 | 投稿内容 | ||||
---|---|---|---|---|---|
|
投稿日時: 2003-10-22 17:07
ども、ほむらです。
僕の記憶ではVerisignなどの認証機関から得たデジタル署名と 自分で作ったデジタル署名は別物で真似してもできなかったような気がするのですが。。。 #EasyCertを使用したときの記憶ですが^^;;;; #識者の方へるぷ(笑 | ||||
|
投稿日時: 2003-10-23 09:11
IE には、 『信頼されたルート証明機関』とか『中間証明機関』が予め登録されており、 (試したことはありませんが)登録されていない認証局の発行したデジタル署名の場合は、 警告が発せられるはずです。 ですから、IEでダウンロードする限り、ローカルCAが発行した鍵とは識別が可能なので、 『"一見信頼できる"鍵を作成すること』は非常に困難なことだと思います。 (もちろん、ローカルなCA を IE にインポートすれば別ですが) 『ファイルをコピーしたり移動したりメディアに記録したり 』する時には あまり役に立たないかも知れませんが、(注:ダウンロード後の改竄を確認できないため) Windows Update を用いてダウンロードする場合には、改竄の問題を無視しても 特に問題はないと思います。 | ||||
|
投稿日時: 2003-10-23 09:39
樫田です。すみません、私の説明が悪かったようです。
おっしゃるとおり、信頼された鍵を詐称することは、不可能とは 言わないまでも非常に困難です。私が先に述べた"一見信頼 できる"鍵とは、あらかじめ勝手に作成した認証局を相手の システムにインストールさせて、その後にデジタル署名の 判別手続き時に、警告やエラーを表示させない方法です。 (ソーシャルエンジニアリングとの組み合わせで"誘導して騙す") つまり個人で作成したローカルCAが発行した鍵の識別そのものは 可能でも、その識別が何を持って行なわれるかを知らない多くの 一般ユーザであれば、騙すことは容易であると言う意味です。 現実にセキュリティ関係の仕事をしていると、「デジタル署名が あるから安心」や「HTTPSでやり取りをしているから大丈夫」など ただの「確認するためのシステム」を、そのまま信頼性の根拠に してしまうユーザが非常に多いことに気づきます。 ただし私の心配しているシステムそのものの問題よりも、ユーザの 誤用にもとづく脆弱性については、必ずしも今回のパッチファイルと デジタル署名だけの話ではなく、SSL(ここでは暗号化システムと してではなく、認証システムとしての利用)と同レベルの脆弱性を 意味するので、こればかりをとりたてて心配する必要もないの でしょう。 まずは攻撃のシナリオを理解しておくことが、今回のケースでも有効 かもしれません。つまりパッチの検証にsigverifを使用して、検証 する作業の信頼性は、SSLによりサーバ認証を行なう仕組みと同程度の セキュリティを意味する、ということになるのでしょうか。 | ||||
|
投稿日時: 2003-10-23 10:05
ども、BASEです。
ん〜、でも過去に1度マイクロソフトのデジタル証明書の詐称事件もありましたし https://www.netsecurity.ne.jp/article/1/1847.html デジタル証明書関連のセキュリティホールもでてるので、 どこまで信用するかも、組織のポリシーによるんでしょうねぇ http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms02-050.asp 最低限HotfixのMD5が確認できるようにはなって欲しいと思いますが、 hotfixもアナウンス無しに更新されている場合もあるようですので、 下手に合っても混乱の元かな? |