アカウント名:
パスワード:
当然ながら、SSL/TLS の ルート認証局(以下ルートCA)であれば、自身の証明書の秘密鍵を所持しており、内部の秘密鍵にアクセスできる人物が不正行為を行うことが可能です。
勿論、ルートCAは秘密鍵の漏えいを防ぐために多額の資金を費やしており、秘密鍵にアクセスできる人物を最小限にしていますが、大手ルートCAであっても、過去に秘密鍵を漏らしてしまったり不正な証明書を発行してしまったりしたところも存在します。
他社(ルートCA)が秘密鍵を漏らしてしまったことが原因で、アップデータが改ざんされてマルウェアがインストールされてしまったら困ると
今回、Dell.Foundation.Agent.Plugins.eDell.dllに、.pfxが2個、平文で格納されていますファイルバージョン1.0.0.5 x86で確認、(DLLに)Dellの署名がしてあります。ちなSHA1.一応(.pfxが)難読化されたパスワードで保護されているようですが、すでに漏れており、破るよりぐぐる方がはやい状況です
#2923006 [security.srad.jp] さん #2923010 [security.srad.jp] さん
Dellが 秘密鍵もセットでパソコンに保存して出荷したことは擁護のしようがない馬鹿げた行為なので、既に他の人が叩いているだろうと思ってスルーした上で、比較的安全に独自のルート証明書をインストールできるよう Windows の証明書ストアの改善を求める書き込みをしたつもりでした。
しかし、自分で書いたコメントを見返してみると、ご指摘いただいたとおり Dell が独自のルート証明書(公開鍵を含む)のみをプレインストールしていたと誤解しているかのような文章になっていました。お恥ずかしい限りです。
今回、Dell.Foundation.Agent.Plugins.eDell.dllに、.pfxが2個、平文で格納されています ファイルバージョン1.0.0.5 x86で確認、(DLLに)Dellの署名がしてあります。ちなSHA1. 一応(.pfxが)難読化されたパスワードで保護されているようですが、すでに漏れており、破るよりぐぐる方がはやい状況です
貴重な検証データをありがとうございます。
バックドアとして使うとしても「秘密鍵」を一般公開する必要は全くないので、悪意がある人物がやったのではなく、単なるミスだと思いますが、かなりひどい状況ですね。
どうしてこのような事態が発生したのか、想像もできません。ひょっとして、テスト用のデータが入ったまま出荷されてしまったとか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
Microsoft が Common Name を限定したルート証明書に対応すべき (スコア:3)
当然ながら、SSL/TLS の ルート認証局(以下ルートCA)であれば、自身の証明書の秘密鍵を所持しており、内部の秘密鍵にアクセスできる人物が不正行為を行うことが可能です。
勿論、ルートCAは秘密鍵の漏えいを防ぐために多額の資金を費やしており、秘密鍵にアクセスできる人物を最小限にしていますが、大手ルートCAであっても、過去に秘密鍵を漏らしてしまったり不正な証明書を発行してしまったりしたところも存在します。
他社(ルートCA)が秘密鍵を漏らしてしまったことが原因で、アップデータが改ざんされてマルウェアがインストールされてしまったら困ると
Re: (スコア:0)
今回、Dell.Foundation.Agent.Plugins.eDell.dllに、.pfxが2個、平文で格納されています
ファイルバージョン1.0.0.5 x86で確認、(DLLに)Dellの署名がしてあります。ちなSHA1.
一応(.pfxが)難読化されたパスワードで保護されているようですが、すでに漏れており、破るよりぐぐる方がはやい状況です
Re: (スコア:2)
Dellが 秘密鍵もセットでパソコンに保存して出荷したことは擁護のしようがない馬鹿げた行為なので、既に他の人が叩いているだろうと思ってスルーした上で、比較的安全に独自のルート証明書をインストールできるよう Windows の証明書ストアの改善を求める書き込みをしたつもりでした。
しかし、自分で書いたコメントを見返してみると、ご指摘いただいたとおり Dell が独自のルート証明書(公開鍵を含む)のみをプレインストールしていたと誤解しているかのような文章になっていました。お恥ずかしい限りです。
貴重な検証データをありがとうございます。
バックドアとして使うとしても「秘密鍵」を一般公開する必要は全くないので、悪意がある人物がやったのではなく、単なるミスだと思いますが、かなりひどい状況ですね。
どうしてこのような事態が発生したのか、想像もできません。ひょっとして、テスト用のデータが入ったまま出荷されてしまったとか?