コラム : デジタル署名を闇雲に信用してはいけない理由
2017年12月26日
株式会社Doctor Web Pacific
原則、コンシューマデバイスには、ルート証明書がインストールされた状態で出荷されます。 デジタル署名の処理が行われると、ルート証明書(信頼できる情報のソース)の検証も行われます。
これにより、アプリケーションに署名するために使用された証明書はどこにも表示されず、知名度の高い企業によって発行されたことが保証されます。ですが、これにはいくつか問題あります。
1. 大部分の認証企業(CA)は米国に存在している。
2. CAまたはそのパートナーによる重複した証明書の発行を止められない。
3. 攻撃者はCAに侵入する可能性がある。
Comodo GroupのCA(ルート証明書はほとんどのブラウザ開発者が信頼できるとみなされています)は未知の不正行為者の証明書を発行しました。 証明書は、以下のドメインに関係します。
- mail.google.com、 www.google.com
- login.yahoo.com (3шт)
- login.skype.com
- addons.mozilla.org
- login.live.com
4. 証明書は大多数の企業から信頼されているため、詐欺師は証明書を偽造し、使用する。
WikiLeaksによると、CIAは、カスペルスキーのような知名度の高い企業によって発行されたという印象を与える証明書を偽造しました。WikiLeaksが公開している3つのソースコードは、ケープタウンにあるThawte社のプレミアムサーバー CAによって署名された、モスクワを拠点とするウイルス対策企業、カスペルスキーラボによるものとする偽の証明書を誰でも作成できるようにしたものです。
Rate
Repost
![[VK]](http://st.drweb.co.jp/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.co.jp/static/new-www/social/no_radius/twitter.png)
Like
![[facebook]](http://st.drweb.co.jp/static/new-www/social/no_radius/facebook.png)
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments