La firma del codice con un timestamp non-ssl non è sicura?

Naviga le tue risposte
2

Supponendo che lo strumento di firma del codice sia sicuro (ad es., non soffra di exploit di overflow del buffer e simili), c'è motivo di preoccuparsi se un servizio di timestamp non gira su SSL? Ovviamente, un attacco MITM potrebbe fare cose leggermente fastidiose (ad es. Fornire un certificato errato), ma SSL non ti protegge da tali attacchi, dal momento che un MITM può già causare un errore nel timestamp SSL (bloccando la richiesta). Tecnicamente, un MITM potrebbe anche fornire un certificato valido sotto il controllo del MITM (permettendogli di revocarlo in seguito).

Ci sono preoccupazioni realistiche quando si utilizza un servizio di timestamp su HTTP, piuttosto che HTTPS?

    
posta Brian 03.07.2014 - 20:57
fonte

1 risposta

3

Risposta breve: in generale, no.

Risposta lunga: il timestamp è un dato con firma digitale e non contiene nulla che dovrebbe essere privato da solo. Non può essere riutilizzato e, poiché ogni altro aspetto del sistema è concepito correttamente, non può essere contraffatto.

L'elemento critico è che il timestamp proviene da un'autorità di cui si fidano sia il firmatario iniziale che il validatore finale.

Ora ci sono casi limite in cui questo elemento di timestamp potrebbe portare a problemi di sicurezza se viene intercettato (ad esempio se il valore hash contiene nel timestamp può rivelare informazioni importanti sui dati stessi) ma quasi tutti provengono da altre parti del sistema che si sta interrompendo (ad esempio, l'uso di un hash debole o l'uso di un hash in modo insicuro, come uno schema di anonimato).

    
risposta data 04.07.2014 - 09:54
fonte

Leggi altre domande sui tag

Esistono requisiti HIPAA per crittografare il nostro database ospitato in AWS Come proteggere la mia API REST a cui si accede da una sola applicazione? [duplicare]