Написано настолько хорошо, лаконично и практично, что я не удержался и не перевел.
— Подробнее о Powershell Дон Джонс Ричард Сиддэуэй Глава 17.3.1 Электронная подпись, образовательная программа Вот уже несколько лет Microsoft продвигает идею подписи кода как механизма безопасности.
Подписанный код содержит зашифрованный блок, называемый цифровая подпись .
Эта подпись содержит информацию, идентифицирующую подписавшего, и обеспечивает уверенность в том, что код не был изменен с момента подписи.
В практическом плане подпись говорит о том, что (А) кто подписал заявление, (Б) она не менялась с момента подписания.
Таким образом, любые проблемы с приложением могут переложить ответственность на сторону-распространителя, а информация в сертификате помогает ее достичь.
Цифровая подпись не предотвращает распространение вредоносного кода.
Но в идеале только крайне глупый человек мог бы поставить цифровую подпись вредоносному ПО, потому что подпись позволяет идентифицировать подписавшего .
Это идеальная идея.
ЭЦП – это целое дело, работающее по механизму доверия (в русскоязычной литературе доверительные отношения).
Давайте воспользуемся аналогией: в США водительские права могут использоваться для идентификации людей (короче, как паспорт).
Помимо прочего, они включают дату вашего рождения, которую бармен или продавец в магазине может проверить, прежде чем продать вам алкоголь.
Говоря компьютерным языком, в США имеется 52 «центра сертификации» (CA): по одному в каждом из 50 штатов, один в Вашингтоне (их столица представляет собой отдельную организацию) и один принадлежит армии США.
Если вы живете в Неваде, вам следует обратиться в Департамент транспортных средств штата Невада и получить права.
Вы едете в Калифорнию и покупаете банку пива, потому что Калифорния трасты отделение в Неваде.
На самом деле все остальные штаты доверяют ЦС других штатов, и поэтому ваша лицензия действительна на всей территории страны.
Почему это так? Очевидно, по юридическим причинам, но на самом деле причина такова: государство доверяет другому государству, потому что все они используют одни и те же базовые процессы для проверки вашей личности, вашего возраста, и проверки проводились перед выдачей документа.
Это не означает, что одно государство полностью доверяет другому государству, но это означает, что одно государство доверяет процессу другого государства и процедуры принимаются всеми.
Если в новостях будет объявлено, что штат лишается своих прав, то все водительские права в этом штате перестанут быть действительными в других штатах из-за потери доверия.
Вернемся к компьютерам.
В мире цифровых сертификатов существует несколько классов сертификатов.
Каждый класс сертификатов создается на основе решений о том, что может произойти, если злоумышленник завладеет сертификатом.
Сертификаты класса 1 используются для шифрования электронной почты, и худшее, что может случиться, — это то, что ваша электронная почта будет прочитана, когда вы этого не хотите.
Плохо для вас, но не так уж плохо для общества в целом.
Сертификаты, необходимые для подписи кода, называются 3 класса.
И выдаются они только организациям (февраль 2016 года - такого уже нет, можно пройти индивидуальную процедуру проверки у нотариуса и отправить документы по факсу) после тщательной проверки.
указанных им данных.
Обычно ЦС проверит регистрацию компании в Dun & Bradstreet, регистрацию компании в штате или штате, где она зарегистрирована и т. д. Таким образом, если у вас есть сертификат корпорации Microsoft, то все считают, что вы имеете право представлять это компания.
Здесь в игру вступает доверие.
Сертификат может быть выдан коммерческим центром сертификации или частным (самодельный центр сертификации).
Windows имеет встроенный список центров сертификации, которым она может доверять.
В системах Vista и более ранних версиях имеется небольшой список центров сертификации.
Вы можете просмотреть список центров сертификации в системе и проверить, как они выдают сертификаты.
Если вам это не нравится, вы можете удалить этот ЦС из списка, сказав «Я не думаю, что они хорошо проверяют сертификаты, возможно, они выдали их злоумышленникам без проверки.
Это то же самое, что произойдет, если госдеп начнет выдавать водительские права направо и налево без проверки - все перестанут доверять правам этого государства, процесс не соблюдается, а значит доверие пропадает .
Таким образом, на вашем компьютере должен быть список центров сертификации, которые хорошо выполняют свою работу, чтобы вы могли быть уверены, что сертификат выдан именно той компании, которая указана.
Если приложение заражено, вы легко сможете найти организацию и принять меры.
Но если ваш ЦС плохо справляется со своей задачей, то вы не сможете доказать, что вредоносный код был подписан «Adobe Inc.».
Отследив его, вы обнаружите, что центр сертификации не знает, кто выдал сертификат, потому что.
Не была выполнена надлежащая аутентификация.
Таким образом, цифровая подпись не предотвращает появление плохого кода.
Подписанные сценарии не становятся лучше и не работают более безопасно в вашей среде.
Из подписи вы знаете только то, кто ее поставил (подписал) и что код не менялся с момента подписи.
- пункт главы 17.3.3 (RemoteSigned)
Помните, что некоторые приложения, такие как Firefox, Internet Explorer, Outlook, добавляют к файлу специальный флаг при его сохранении на диске.Теги: #безопасность #PowerShell #центр сертификацииФайлы с этим флагом будут идентифицированы как полученные извне, когда вы попытаетесь запустить их в PowerShell.
-
Обзор Synology Diskstation 211J
19 Oct, 24 -
Амплитудная Модуляция На Пальцах
19 Oct, 24 -
«Критика Чистого Разума» Для Программистов
19 Oct, 24 -
Стоимость Баннерной Рекламы
19 Oct, 24 -
Уровень Агрегации Базы Данных
19 Oct, 24
