Devo memorizzare i miei file di aggiornamento con la loro firma inclusa?

1

In questo momento ho un server di aggiornamento automatico che firma i file che distribuisce prima di inviarli, quindi se qualcuno compromette il mio nome di dominio tutto ciò che possono fare è ottenere messaggi di "cattiva firma" rimbalzati su di loro a meno che non rubino anche loro la mia chiave privata.

Attualmente genera la firma proprio prima di inviare il file di aggiornamento al client e quindi ha la chiave privata sul server.

Mi chiedevo: non dovrei firmare il file di aggiornamento prima ancora di caricarlo sul server, così posso tenere la chiave su una macchina non esposta al web invece del mio server? O c'è un lato negativo nel fare ciò a cui non ho pensato?

    
posta Schilcote 15.11.2016 - 22:35
fonte

1 risposta

3

Come sempre, dipende da cosa vuoi proteggere.

Se la minaccia è un utente malintenzionato che dirotta il nome del tuo dominio in qualche modo e distribuisce aggiornamenti dannosi, la tua protezione è buona, la firma dei file sul tuo server lo impedisce.

Tuttavia, parlando della minaccia che un utente malintenzionato compromette il server di aggiornamento stesso, al momento non è disponibile alcuna protezione. Poiché la chiave deve essere accessibile al processo che effettivamente firma e invia i file, un utente malintenzionato potrebbe anche avere accesso e potrebbe distribuire contenuto malintenzionato firmato. In un certo senso è anche peggio che se gli aggiornamenti non fossero firmati, perché in tale scenario gli utenti sarebbero assicurati dalla tua firma che gli aggiornamenti sono di fatto autentici quando in realtà non lo sono.

Quindi sì, come hai suggerito, dovresti mantenere le chiavi di firma offline (o almeno ben protette, non sul server di aggiornamento), e caricare solo gli aggiornamenti distribuibili già firmati. Ciò proteggerebbe anche dalla seconda minaccia sopra menzionata.

    
risposta data 15.11.2016 - 23:56
fonte

Leggi altre domande sui tag