Posso fidarmi completamente di CA?

Naviga le tue risposte
2

Quando una società di software mi invia 1 file e mi chiede di installarlo, controllo la firma ed è valido sotto Cert (rilasciato da Thwate CA). Quindi l'installazione di quel file inviato da quella società è sicuro? Voglio dire:

  1. C'è qualche possibilità che un superutente malintenzionato possa modificare quel file?
  2. Se non conosco quella società, dovrei installarla? Al momento della firma del file, CA controlla quel file o lo ha appena firmato e non gli importa se il file è dannoso per il ricevitore o no? Scusa gli errori gramma, non sono un madrelingua inglese.
posta Anh Đức Lương 05.12.2018 - 13:49
fonte

3 risposte

3

Di solito succede che la CA crea un certificato per un'azienda e tale società firma il software. La CA convalida se la società è chi dice di essere, ma non controlla affatto il software.

Quindi una società chiamata ACME può ottenere un certificato per ACME da Thawte CA. Possono quindi firmare qualsiasi software con quello. Se ricevi questo software firmato, tutto ciò che sai è che ACME l'ha firmato. Non dice nulla sul software. Thawte non ha controllato il software, ha solo controllato se hanno dato un certificato ACME per ACME.

Se non conosci la società, il fatto che sia firmata non offre alcuna sicurezza. Offre sicurezza solo se conosci e ti fidi della compagnia. Ad esempio, se il software è firmato da Microsoft, in genere mi fido che non sia dannoso. Se è firmato da ACME, non lo so ancora.

    
risposta data 05.12.2018 - 13:55
fonte
1

Oltre alla risposta di Sjoerd , ti stai anche affidando all'autorità di certificazione (in questo caso, Thawte) per hanno fatto il suo lavoro

Cosa succede se il certificato è stato emesso da un'Autorità cinese, brasiliana, russa, olandese, nigeriana, indiana (ecc.)?
In ultima analisi, anche tu fai affidamento sulla credibilità di tutte le istituzioni nella catena di certificati.

    
risposta data 05.12.2018 - 14:22
fonte
0

Qui ci sono due livelli di fiducia.

  1. Thwate CA ha verificato la società di software e ha assegnato loro una chiave privata. Ti fidi di Thwate CA per fare questo? Ben visto come sono sul rootstore di Windows, sarebbe ragionevole.

  2. Ora Se ti fidi di Thwate CA per verificare la Software Company - ti fidi della Software Company. Sono abbastanza competenti da non aver perso le chiavi delle parti malintenzionate? Inoltre ti fidi in generale di fare software sicuro.

Alcuni produttori di software non firmano il loro software, ma pubblicano online un hash dei loro instal. A mio parere, la firma del software con un certificato che è considerato affidabile dall'archivio principale del sistema operativo è un'opzione migliore rispetto alla pubblicazione di un hash su un sito Web, ma dipende da cosa si sta proteggendo.

Vorrei fare più domande di base piuttosto che un software firmato - chi ti ha dato il software? Lo hai ricevuto via email o scaricato? Conosci la persona che l'ha spedita? L'AV l'ha raccolto? Puoi inviarlo a VirusTotal se hai davvero poca fiducia, ecc. Ecc.

    
risposta data 06.12.2018 - 09:13
fonte

Leggi altre domande sui tag

Content Security Policy Intestazione che non interrompe l'attacco Un negozio di Windows IT dovrebbe preoccuparsi di abilitare WSL per gli utenti?