Le applicazioni (ad esempio Firefox) spesso includono un file del pacchetto ca ca contenente certificati attendibili.
Come posso proteggere quei file da agenti malevoli che provano a modificarli? Penso che la firma non sia un'opzione perché potrebbero anche sostituire la chiave pubblica utilizzata per la verifica.
Il controllo dell'accesso è l'unica protezione contro l'iniezione fraudolenta di certificati in Firefox e applicazioni simili, oppure esistono altri meccanismi?
Di solito è richiesto l'accesso root o l'amministratore per modificare i pacchetti CA. Se un attaccante ha raggiunto quel livello di accesso, è finito. Difendersi da tale scenario è quasi impossibile in quanto ci sono molte altre cose che l'attaccante può fare.
Ora, per il caso molto specifico di SuperFish, i browser (e altre applicazioni) possono spingere gli aggiornamenti per rifiutare quel particolare certificato, ma è solo perché SuperFish riutilizza in modo incompleto lo stesso certificato su tutti i dispositivi. Un attacco più sofisticato è molto più difficile da difendere.
Leggi altre domande sui tag tls certificates protection file-access