»сследование: ѕодписи отозванных сертификатов могут оставатьс€ действительными

image

“еги: сертификат

»сследование показало, что при отзыве сертификатов наибольшее значение имеет изменение даты его действительности.

»сследование независимого специалиста по информационной безопасности показало, что отзыв цифрового сертификата не об€зательно приводит к прекращению действительности цифровых подписей, присваиваемых программным продуктам с его помощью. ¬рем€ прекращени€ действительности подписи определ€етс€ только датой отзыва сертификата.

—огласно отчету, цифровые подписи нескольких недавно обнаруженных тро€нских программ по причине некорректного отзыва определенного сертификата получали подтверждение подлинности у операционных систем. “ро€нские программы получили подпись с помощью сертификатов €понской компании, о компрометации которых стало известно в июле этого года. ѕосле раскрыти€ факта взлома серверов компании, центр сертификации VeriSign отозвал похищенный сертификат.

“ро€нские программы получили цифровой ключ до отзыва их сертификатов Ц 13 апрел€ 2010 года, 3 апрел€ 2010 года и 22 €нвар€ 2011 года. ¬виду этого, код подписи осталс€ действительным, и системы не принимали только те подписи, которые были созданы после даты отзыва.

ѕо мнению исследовател€, проблема возникла потому, что сотрудники центра сертификации про€вили излишнюю осторожность при установке даты отзыва, выбрав как можно более позднюю дату отзыва сертификата во избежание отвержени€ подписей легитимных программ и документов, получивших подпись сертификата. ѕосле по€влени€ публикации дата отзыва сертификата была перемещена на 12 апрел€ 2010 года центром сертификации.


или введите им€

CAPTCHA
UC
21-11-2011 16:01:48
Ќезависимый специалист открыл јмерику! ¬роде все логично, так и должно быть, подписи, поставленные на момент действи€ серта, будут действительны и после его отзыва.
0 |
FSA
21-11-2011 17:33:47
≈сли € понимаю правильно, обновлени€ на M$ Windows приход€т раз в мес€ц, а том числе обновление сертификатов?
0 |
22852
22-11-2011 09:45:04
CRL-и должны обновл€тьс€ чаще, чем раз в мес€ц. «а мес€ц можно весь тырнет захватить.
0 |