エフセキュアブログ http://blog.f-secure.jp/archives/50417520.html
> 署名されているのだからクリーン、でしょう?
左側の図 Thawte 社発行のものは有効な署名みたいですね。右側、UTN-USERFirst って、CoMoDo 社のでしょうか? こっちは無効のようですが。
と云うことで、悪意のある人でも正規のコードサイニング用ディジタル署名を入手出来る、と。それでファイルに署名されれば一見して本物と見わけは付かない、と。
(右側の図はオレオレ証明書コードサイニング版って感じでしょうか。実際に revoke されて CRL 入りのヤツ?)
実際のとこ、それが信頼できるベンダーからのもので、過去に使用されたことがあるディジタル署名かどうか、拇印の履歴まで確認しないと危なくなってきたわけですね。
署名の有効期限が切れて切り替えるタイミングとかも危なそうな気がします。
あと複数のディジタル署名が乱れ飛んでいる大きな組織からのファイルも、その確認に手間が掛かるわけです。
いじょうです。
-
- -