Confusione sul software e anche sulla firma digitale che viene modificata

1

Non sono sicuro di cosa sia molto sicuro sulla firma digitale di un software o di un firmware da distribuire. Comprendo il vantaggio in quanto può far sapere al destinatario se i dati si sono alterati accidentalmente durante il trasferimento in quanto gli hash non corrispondono, o se il software o il firmware stesso è stato appositamente manomesso e modificato.

Tuttavia, cosa succede se il software / firmware e anche la firma digitale vengono modificati di proposito? L'hash trasmesso corrisponderà ora al software / firmware modificato. Ignoriamo la parte delle chiavi pubbliche e private per ora. Gli hash non si accoppieranno ancora sul lato ricevente e abbiamo un software modificato che può ancora essere accettato?

    
posta Engineer999 13.09.2018 - 18:02
fonte

2 risposte

1

Non puoi ignorare chiavi pubbliche.

I binari sono firmati con firma del codice firme dalle autorità di certificazione attendibili e solo loro sono attendibili.

IdriverdiWindowssonofirmaticoncertificatiemessidaMicrosoftesonoconsideratiaffidabili.

However,Whatifthesoftware/firmwareandalsothedigitalsignaturegetspurposelymodifiedtosuit?Thetransmittedhashwillnowmatchthemodifiedsoftware/firmware.

Vero,manonèpossibilefirmareilbinarioconuncertificatoattendibile(dallaCAattendibile)senonsidisponedelcertificatostesso.Ovviamente,lefirmepersonalizzatenonsarannoconsiderateattendibili.

Let'signorethepublicandprivatekeyspartfornow.Won'tthehasheswillstillmatchonthereceivingendandwehaveamodifiedsoftwarethatcanstillbeaccepted?

ComepuoiignorarePKI?Questoèilpunto.Nonsifidanodellafirmaenonsifidanodelbinariostesso.

Inquestomodo:

    
risposta data 13.09.2018 - 18:46
fonte
1

Aggiungerò qualche teoria in aggiunta alla risposta di @ MoonsikPark.

Sembra che tu capisca il concetto di hash. È quindi possibile pensare alle firme digitali come hash + un'operazione publickey / privatekey. cioè una firma digitale è un hash che non può essere falsificato a meno che tu non conosca la chiave privata, ma chiunque può verificare utilizzando la chiave pubblica.

Chiunque può ovviamente modificare un file binario, ma per calcolare una nuova firma per il file binario modificato. In qualità di utente malintenzionato, non avrai accesso alla chiave privata dello sviluppatore di software autentico. È possibile creare la propria coppia di chiavi, ma ogni sistema operativo viene fornito con un elenco di chiavi di firma di cui si fidano per l'installazione del software, pertanto l'utente riceverà un avviso simile a quello della risposta di @MonsikPark.

    
risposta data 13.09.2018 - 19:08
fonte

Leggi altre domande sui tag