**簽名是一種當代標準做法,其中軟體開發人員通過可信證書頒發機構的驗證,並接收可用於簽署指令碼和可執行檔案的證書和私鑰。
當您對乙個軟體進行**簽名時,您正在做的是使用與您的**簽名證書關聯的私鑰新增數字簽名。 瀏覽器本身並不信任您,但如果他們可以將您的數字簽名鏈結回受信任的根,即來自其中乙個受信任的ca的證書,它會信任您,因為ca通過向您頒發證書為你擔保。
簡而言之,當您正確簽署某些內容時,瀏覽器可以將其追溯到它信任的證書,這會依次授予您信任。
一般來說,證書頒發機構和數字證書行業最常見的一種做法是「永遠不要讓你的私鑰發生任何事情。」然而百密總有一疏,當你的私鑰真的被公開了,一切就沒有想象的那麼簡單了。
研究人員發現了一對惡意軟體家族,這些惡意軟體家族使用來自台灣科技公司的妥協證書進行了數字簽名,其中包括生產網路裝置的跨國公司d-link。
這些網路犯罪分子如何能夠破壞私鑰尚不得而知。 眾所周知,他們用金鑰簽署了惡意軟體。
正如黑客新聞所解釋的那樣,兩個惡意軟體與受損金鑰簽署:
eset的安全研究人員最近確定了兩個惡意軟體系列,這些惡意軟體系列之前與網路間諜組blacktech有關,這些惡意軟體系列是使用屬於d-link網路裝置製造商的有效數字證書和另一家名為changing information technology的台灣安全公司簽署的。第乙個惡意軟體稱為plead。 日本計算機安全事件響應小組(csirt)jpcert在6月對plead進行了全面分析。 它本質上是乙個後門,可用於竊取資訊和監視人。 第二個惡意軟體是乙個相關的密碼竊取程式,其目標是:
d-link和變更資訊科技已收到通知,並且已於7月4日撤銷了證書。
blacktech將繼續使用已撤銷的證書來簽署惡意軟體。 這可能聽起來很愚蠢,但是這個問題在許多不同的防病毒解決方案的漏洞中都有所啟發:它們不會掃瞄**簽名證書的有效性。
這甚至不是台灣科技公司第一次成為受害者。2023年的時候stuxnet蠕蟲就使用了從realtek和jmicron盜取的證書簽名。
金鑰洩露可能會導致一連串的問題,無論是ssl證書,**簽名,個人身份驗證 - 都可能帶來災難性的影響。 希望那些獲得簽名的惡意軟體族最終不會導致大問題,但簽署惡意軟體始終是乙個危險的主張。
外部硬體tokenright現在將金鑰儲存在物理硬體令牌上的想法在很大程度上被加密貨幣行業所採用,後者將其稱為硬體錢包。在某種程度上,加密貨幣行業對於各種私鑰儲存來說都是乙個有趣的測試案例,因為他就像是淘金者的平台,絡繹不絕的黑客和各路人馬是驗證加密的最佳地點。
加密貨幣社群(不同於加密社群)推動了一系列關鍵儲存解決方案,從層壓紙錢包到將物理位元幣側面雕刻到「尖端」冷藏解決方案,這些花式加密**極高,早已不是什麼新奇玩意兒。
【來自ssl中國】
當說到「敏捷」,你漏了什麼?
現在,越來越多的企業和軟體從業者都接受了 敏捷 概念。在我做持續交付諮詢的時候,也可以聽到客戶能夠把 敏捷宣言 倒背如流 個體和互動高於流程和工具 工作的軟體高於詳盡的文件 客戶合作高於合同談判 響應變化高於遵循計畫 如果,這就是你知道的 敏捷 的全部。那麼,你對 敏捷 的認識還沒有及格,在我做諮詢...
乾貨收藏 證書私鑰洩漏的風險這樣防範!
永遠不要讓你的證書私鑰發生任何事情。有沒有想過,如果你的 使用的數字證書私鑰檔案洩露,會造成什麼後果?什麼是ssl tls協議?ssl tls協議是一種網路通訊安全協議,採用公鑰加密技術和對稱加密技術,對客戶端和伺服器端之間的資料傳輸進行加密,確保資料傳輸的機密性 完整性以及通訊方身份真實性。ssl...
當你的私鑰被竊後,會發生什麼
一般來說,證書機構和數字證書行業中最常見的限制是 永遠不要讓私有金鑰出現任何問題。不幸的是,只說 不好的事情可能會發生 有點含糊不清,而且缺乏衝擊力。因此,以下這個真實的例子,希望可以對每個人起到警醒作用。研究人員發現乙個惡意軟體家族,他們利用台灣科技公司,如生產網路裝置的跨國企業d link等公司...