Clever Geek Handbook

デジタル署名、ファーストコース(Powershell in depth第17章翻訳)

非常によく、簡潔かつ実用的に書かれていたため、彼は抵抗も翻訳もできませんでした。

-Powershell in depthドンジョーンズリチャードシダウェイ



第17.3.1章デジタル署名、教育プログラム

ここ数年、マイクロソフトはセキュリティメカニズムとしてコード署名のアイデアを推進してきました。 署名されたコードは、 デジタル署名と呼ばれる暗号化されたブロックを運びます 。 この署名には、署名者を識別する情報が含まれており、署名後にコードが変更されていないことを確信できます。 実用的な観点から、署名は、(A)アプリケーションに署名した人、(B)署名以降変更されていないことを示しています。 したがって、アプリケーションに問題があると、責任がディストリビューターに移る可能性があり、証明書内の情報がそれに到達するのに役立ちます。

デジタル署名は、悪意のあるコードの拡散を防ぎません。 しかし、理想的には、非常に愚かな人だけがマルウェアにデジタル署名を付けます。これは、 署名により署名者にアクセスできるためです 。 それが理想です。



デジタル署名は、信頼のメカニズム(ロシア語の信頼関係に関する文献)で動作するビジネス全体です。

アナロジーを使用してみましょう。米国では、運転免許証を使用して人々を識別することができます(パスポートのようなものです)。 とりわけ、生年月日が含まれており、バーテンダーまたは店内の売り手は、アルコールを販売する前に確認できます。 コンピューターの用語では、米国には52の「認証センター」(CA)があります。50の州にそれぞれ1つ、ワシントンDCに1つ(資本は別個のエンティティ)、もう1つは米軍にあります。 ネバダ州に住んでいる場合は、ネバダ州の自動車部門で権利を取得し、権利を取得します。 カリフォルニアはネバダ州の部署を信頼しているため、カリフォルニアに行ってビールを購入します。 実際には、他のすべての州は他の州のCAを信頼しているため、あなたの権利は全国で有効です。 これはなぜですか? 明らかに、法律上の理由によりますが、実際にはその理由は次のとおりです。州は、ドキュメントを発行する前に身元、年齢、チェックを確認するために同じ基本プロセスを使用するため、別の州を信頼します。 これは、ある状態が別の状態を完全に信頼しているという意味ではありませんが、ある状態が別の状態のプロセスを信頼しており、すべての人が手順を受け入れている(同意している)ことを意味します。 州が免許を失っているとニュースが発表した場合、この州のすべての運転免許証は、信頼の終了により他の州では有効でなくなります。

コンピューターに戻りましょう。 デジタル証明書の世界には、いくつかのクラスの証明書があります。 証明書の各クラスは、攻撃者が証明書を所有した場合に何が起こるかについての決定に基づいて作成されます。 クラス1証明書は電子メールの暗号化に使用されます。最悪の事態は、望まないときに電子メールを読むことです。 あなたには悪いが、社会全体としてはそれほど悪くない。

コードに署名するために必要な証明書はクラス3と呼ばれます。また、それらは組織によってのみ発行されます(2016年2月-これは事実ではありません。公証人による個別の検証手順を経て、FAXで文書を送信できます)。 通常、CAはDun&Bradstreetでの会社の登録、登録されている州または州での会社の登録などを確認します。 したがって、Micrisoft Corporationの証明書を持っている場合、誰もがあなたがこの会社を代表する権利を持っていると信じています。

これは信頼が関係するところです。 証明書は、商用の証明機関またはプライベート(自己ホスト型CA)によって発行できます。 Windowsには、信頼できる組み込みのCAリストがあります。 Vista以前のシステムには小さなCAリストがあります。 システム内のリストの証明機関を確認し、証明書の発行方法を確認できます。 気に入らない場合は、リストからこのCAを削除できます。「証明書を十分に検証していないと思われます。攻撃者に確認せずに発行した可能性があります。 このCAは検証なしで証明書を発行します。 これは、国務省が左右に確認せずに運転免許証の発行を開始した場合と同じです。誰もがこの州の権利を信頼しなくなり、プロセスが尊重されず、信頼が消滅します。



したがって、コンピューターには、その仕事をうまく行うCAのリストが含まれている必要があります。証明書は、示されている会社に発行されたことを確認する必要があります。 アプリケーションが感染している場合は、組織を簡単に見つけて対処できます。 ただし、CAの仕事が不十分な場合、悪質なコードがAdobe Incによって特別に署名されたことを証明できません。 それを追跡すると、CAは証明書の発行者を知らないことがわかります。 必要に応じて認証しませんでした。



したがって、デジタル署名は不正なコードの出現を防止しません。 署名されたスクリプトは、より良いスクリプトになったり、環境で安全に動作し始めることはありません。 署名から知っているのは、誰が署名したか(署名済み)、署名以降にコードが変更されていないことだけです。



-17.3.3章(RemoteSigned)

Firefox、Internet Explorer、Outlookなどの一部のアプリケーションでは、ファイルがディスクに保存されるときに特別なフラグが追加されることに注意してください。 このフラグを持つファイルは、PowerShellで実行しようとしたときに外部から受信するものとして定義されます


More articles:


All Articles