代碼簽名是一種當(dāng)代標(biāo)準(zhǔn)做法选泻，其中軟件開(kāi)發(fā)人員通過(guò)可信證書(shū)頒發(fā)機(jī)構(gòu)的驗(yàn)證，并接收可用于簽署腳本和可執(zhí)行文件的證書(shū)和私鑰美莫。

幾乎每個(gè)設(shè)備页眯，操作系統(tǒng)和網(wǎng)絡(luò)瀏覽器都經(jīng)過(guò)硬編碼，以盡可能少地信任各種來(lái)源厢呵。 這完全是以安全的名義完成的窝撵。 當(dāng)您編寫(xiě)一個(gè)軟件并將其上傳到互聯(lián)網(wǎng)而不簽名時(shí)，會(huì)在瀏覽器中觸發(fā)任何試圖下載該軟件的警告襟铭。 警告將說(shuō)明此下載源自未知來(lái)源碌奉，其內(nèi)容無(wú)法信任短曾。

當(dāng)您對(duì)一個(gè)軟件進(jìn)行代碼簽名時(shí)，您正在做的是使用與您的代碼簽名證書(shū)關(guān)聯(lián)的私鑰添加數(shù)字簽名赐劣。 瀏覽器本身并不信任您嫉拐，但如果他們可以將您的數(shù)字簽名鏈接回受信任的根，即來(lái)自其中一個(gè)受信任的CA的證書(shū)魁兼，它會(huì)信任您婉徘，因?yàn)镃A通過(guò)向您頒發(fā)證書(shū)為你擔(dān)保。

簡(jiǎn)而言之咐汞，當(dāng)您正確簽署某些內(nèi)容時(shí)盖呼，瀏覽器可以將其追溯到它信任的證書(shū)，這會(huì)依次授予您信任化撕。

代碼簽名無(wú)處不在几晤， 您需要它來(lái)在Apple和Android的應(yīng)用商店中獲取應(yīng)用程序，您需要它來(lái)讓所有主流瀏覽器下載您的軟件植阴。 為了使這種做法盡可能安全蟹瘾，在發(fā)布之前有一個(gè)驗(yàn)證過(guò)程，旨在清除不好的井和網(wǎng)絡(luò)犯罪分子墙贱。

一般來(lái)說(shuō)热芹，證書(shū)頒發(fā)機(jī)構(gòu)和數(shù)字證書(shū)行業(yè)最常見(jiàn)的一種做法是“永遠(yuǎn)不要讓你的私鑰發(fā)生任何事情〔移玻”然而百密總有一疏伊脓，當(dāng)你的私鑰真的被公開(kāi)了，一切就沒(méi)有想象的那么簡(jiǎn)單了魁衙。

研究人員發(fā)現(xiàn)了一對(duì)惡意軟件家族报腔，這些惡意軟件家族使用來(lái)自臺(tái)灣科技公司的妥協(xié)證書(shū)進(jìn)行了數(shù)字簽名，其中包括生產(chǎn)網(wǎng)絡(luò)設(shè)備的跨國(guó)公司D-Link剖淀。

這些網(wǎng)絡(luò)犯罪分子如何能夠破壞私鑰尚不得而知纯蛾。 眾所周知，他們用密鑰簽署了惡意軟件纵隔。

當(dāng)私鑰被泄露并且數(shù)字簽名被應(yīng)用于惡意軟件時(shí)翻诉，它會(huì)欺騙通常掃描下載的瀏覽器過(guò)濾器和防病毒程序。 比方說(shuō)捌刮，讓瀏覽器認(rèn)為它來(lái)自D-Link碰煌，而不是看到這個(gè)腳本或可執(zhí)行文件來(lái)自未知來(lái)源，并且瀏覽器允許下載開(kāi)始绅作。 這是一種非常有效的攻擊媒介芦圾。

正如黑客新聞所解釋的那樣，兩個(gè)惡意軟件與受損密鑰簽署：

ESET的安全研究人員最近確定了兩個(gè)惡意軟件系列俄认，這些惡意軟件系列之前與網(wǎng)絡(luò)間諜組BlackTech有關(guān)个少，這些惡意軟件系列是使用屬于D-Link網(wǎng)絡(luò)設(shè)備制造商的有效數(shù)字證書(shū)和另一家名為Changing Information Technology的臺(tái)灣安全公司簽署的洪乍。

第一個(gè)惡意軟件稱(chēng)為Plead。 日本計(jì)算機(jī)安全事件響應(yīng)小組（CSIRT）JPCERT在6月對(duì)Plead進(jìn)行了全面分析夜焦。 它本質(zhì)上是一個(gè)后門(mén)壳澳，可用于竊取信息和監(jiān)視人。 第二個(gè)惡意軟件是一個(gè)相關(guān)的密碼竊取程序糊探，其目標(biāo)是：

D-Link和變更信息技術(shù)已收到通知钾埂，并且已于7月4日撤銷(xiāo)了證書(shū)。

BlackTech將繼續(xù)使用已撤銷(xiāo)的證書(shū)來(lái)簽署惡意軟件科平。 這可能聽(tīng)起來(lái)很愚蠢褥紫，但是這個(gè)問(wèn)題在許多不同的防病毒解決方案的漏洞中都有所啟發(fā)：它們不會(huì)掃描代碼簽名證書(shū)的有效性。

應(yīng)該發(fā)生的情況瞪慧，如圖中所示髓考，是防病毒程序會(huì)看到簽署代碼的證書(shū)被撤銷(xiāo)，并通知用戶或阻止下載弃酌。 即使惡意軟件被加上時(shí)間戳氨菇，仍然應(yīng)該提前通知證書(shū)已被撤銷(xiāo)。 相反妓湘，許多防病毒程序根本不檢查有效性查蓉，這意味著過(guò)期或受損的證書(shū)仍可構(gòu)成相當(dāng)大的威脅。

這甚至不是臺(tái)灣科技公司第一次成為受害者榜贴。2010年的時(shí)候Stuxnet蠕蟲(chóng)就使用了從RealTek和JMicron盜取的證書(shū)簽名豌研。

密鑰泄露可能會(huì)導(dǎo)致一連串的問(wèn)題，無(wú)論是SSL證書(shū)唬党，代碼簽名鹃共，個(gè)人身份驗(yàn)證 - 都可能帶來(lái)災(zāi)難性的影響。 希望那些獲得簽名的惡意軟件族最終不會(huì)導(dǎo)致大問(wèn)題驶拱，但簽署惡意軟件始終是一個(gè)危險(xiǎn)的主張霜浴。

因此，我們整理了以下建議：

外部硬件TokenRight現(xiàn)在將密鑰存儲(chǔ)在物理硬件令牌上的想法在很大程度上被加密貨幣行業(yè)所采用蓝纲，后者將其稱(chēng)為硬件錢(qián)包阴孟。在某種程度上，加密貨幣行業(yè)對(duì)于各種私鑰存儲(chǔ)來(lái)說(shuō)都是一個(gè)有趣的測(cè)試案例税迷，因?yàn)樗拖袷翘越鹫叩钠脚_(tái)永丝，絡(luò)繹不絕的黑客和各路人馬是驗(yàn)證加密的最佳地點(diǎn)。

加密貨幣社區(qū)（不同于加密社區(qū)）推動(dòng)了一系列關(guān)鍵存儲(chǔ)解決方案翁狐，從層壓紙錢(qián)包到將物理比特幣側(cè)面雕刻到“尖端”冷藏解決方案，這些花式加密價(jià)格極高凌蔬，早已不是什么新奇玩意兒露懒。

最好的方法從來(lái)都是把密鑰保存在線下闯冷，不給他人任何機(jī)會(huì)獲取。如果D-link和Changing Information Technology早就這么做了懈词，要搞到他們的私鑰就要牽涉到刑事案件了蛇耀，哪個(gè)黑客還有空玩兒這個(gè)呢？

文章轉(zhuǎn)載：https://www.kingnettech.com/service/zhishiku/112.html