Protezione del pacchetto ca ca

1

Le applicazioni (ad esempio Firefox) spesso includono un file del pacchetto ca ca contenente certificati attendibili.

Come posso proteggere quei file da agenti malevoli che provano a modificarli? Penso che la firma non sia un'opzione perché potrebbero anche sostituire la chiave pubblica utilizzata per la verifica.

Il controllo dell'accesso è l'unica protezione contro l'iniezione fraudolenta di certificati in Firefox e applicazioni simili, oppure esistono altri meccanismi?

    
posta fbbdev 01.03.2015 - 04:35
fonte

1 risposta

1

Di solito è richiesto l'accesso root o l'amministratore per modificare i pacchetti CA. Se un attaccante ha raggiunto quel livello di accesso, è finito. Difendersi da tale scenario è quasi impossibile in quanto ci sono molte altre cose che l'attaccante può fare.

Ora, per il caso molto specifico di SuperFish, i browser (e altre applicazioni) possono spingere gli aggiornamenti per rifiutare quel particolare certificato, ma è solo perché SuperFish riutilizza in modo incompleto lo stesso certificato su tutti i dispositivi. Un attacco più sofisticato è molto più difficile da difendere.

    
risposta data 01.03.2015 - 05:11
fonte

Leggi altre domande sui tag