アカウント名:
パスワード:
皆さんは普段から何かしらのソフトウェア(WindowsやGNU/Linuxのインストール用イメージ、各種アプリケーションのソースコードやビルド済みバイナリなど)をダウンロードして使っていることかと思いますが、その際にダウンロードしたファイルが改竄されていないかを確認していますか?
これにはいくつか宗派があると思いますが、ポイントとなるのはこのへんですかね?- HTTP/HTTPS- 公式のサーバーか否か- ハッシュ値の確認- 電子署名の確認
「何もやっていない」という人もいれば、「公式のサイトからhttpsでダウンロードしていればOK」という人もいるでしょうし、「一応ハッシュ値をSHA256SUMSとかの値と比較する」「電子署名を必ず確認する」といった人もいるでしょう。皆さんの意見をお聞かせください。
基本的に何もしない派。理論的に侵害はありえるし、実際に侵害された事例はいくかあるけど、「改ざんを確認していれば防げた」という事例は寡聞にして知らないので。Windowsバイナリのハッシュ値が提供されていることはほとんどないし、個人開発者のコードサイニング証明書取得のハードルは高いし。最初から署名されていなかったのか、改ざんで署名が剥がれたのか区別できないし。社内数十人以上で使うパッケージなら一応ハッシュ値の比較を試みることはあるけど、それは改ざんの有無を確認するためではなく、ダウンロードが成功しているか確認するため。
> 個人開発者のコードサイニング証明書取得のハードルは高いし。最初から署名されていなかったのか、改ざんで署名が剥がれたのか区別できないし。
Windowsで署名が正しく検証されればファイルのプロパティのデジタル署名に「このデジタル署名は問題ありません。」と表示されるところ、署名されたファイルが改変されていれば「このデジタル署名は有効ではありません。」と表示されるぞ。無署名とファイル改変での署名検証失敗はちゃんと区別される。
攻撃者がご丁寧に元のデジタル署名プロパティを残していてくれれば、ね。バイナリ改ざんするスキルのある攻撃者なら無効なデジタル署名は削除するだろうし、スキルのない攻撃者なら無署名の攻撃ツールに丸々差し替えるだけなんで、「このデジタル署名は有効ではありません。」と表示される想定はほぼありえないですね。
なので一般的には改ざん確認の手間がセキュリティ効果に見合わないんだよねぇデジタル署名のあるバイナリしか実行しないポリシーなら話は変わってくるけど
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
スラドに聞け!ソフトウェアのintegrity (スコア:0)
皆さんは普段から何かしらのソフトウェア(WindowsやGNU/Linuxのインストール用イメージ、各種アプリケーションのソースコードやビルド済みバイナリなど)をダウンロードして使っていることかと思いますが、その際にダウンロードしたファイルが改竄されていないかを確認していますか?
これにはいくつか宗派があると思いますが、ポイントとなるのはこのへんですかね?
- HTTP/HTTPS
- 公式のサーバーか否か
- ハッシュ値の確認
- 電子署名の確認
「何もやっていない」という人もいれば、「公式のサイトからhttpsでダウンロードしていればOK」という人もいるでしょうし、「一応ハッシュ値をSHA256SUMSとかの値と比較する」「電子署名を必ず確認する」といった人もいるでしょう。皆さんの意見をお聞かせください。
Re: (スコア:0)
基本的に何もしない派。理論的に侵害はありえるし、実際に侵害された事例はいくかあるけど、「改ざんを確認していれば防げた」という事例は寡聞にして知らないので。
Windowsバイナリのハッシュ値が提供されていることはほとんどないし、個人開発者のコードサイニング証明書取得のハードルは高いし。最初から署名されていなかったのか、改ざんで署名が剥がれたのか区別できないし。
社内数十人以上で使うパッケージなら一応ハッシュ値の比較を試みることはあるけど、それは改ざんの有無を確認するためではなく、ダウンロードが成功しているか確認するため。
Re: (スコア:0)
> 個人開発者のコードサイニング証明書取得のハードルは高いし。最初から署名されていなかったのか、改ざんで署名が剥がれたのか区別できないし。
Windowsで署名が正しく検証されればファイルのプロパティのデジタル署名に「このデジタル署名は問題ありません。」と表示されるところ、署名されたファイルが改変されていれば「このデジタル署名は有効ではありません。」と表示されるぞ。
無署名とファイル改変での署名検証失敗はちゃんと区別される。
Re:スラドに聞け!ソフトウェアのintegrity (スコア:0)
攻撃者がご丁寧に元のデジタル署名プロパティを残していてくれれば、ね。
バイナリ改ざんするスキルのある攻撃者なら無効なデジタル署名は削除するだろうし、
スキルのない攻撃者なら無署名の攻撃ツールに丸々差し替えるだけなんで、
「このデジタル署名は有効ではありません。」と表示される想定はほぼありえないですね。
Re: (スコア:0)
なので一般的には改ざん確認の手間がセキュリティ効果に見合わないんだよねぇ
デジタル署名のあるバイナリしか実行しないポリシーなら話は変わってくるけど