¿Puedo confiar completamente en CA?

Navega tus respuestas
2

Cuando una compañía de software me envía 1 archivo y me pide que lo instale, verifico la firma y es válida bajo el Cert (emitido por Thwate CA). Entonces, ¿es seguro instalar ese archivo enviado por esa compañía? Quiero decir:

  1. ¿Hay alguna posibilidad de que un superusuario malintencionado pueda alterar ese archivo?
  2. Si no conozco esa compañía, ¿debo instalarla? Al firmar el archivo, ¿CA verifica ese archivo o simplemente lo firmaron y no le importó si el archivo es dañino para el receptor o no? Perdón por los errores gramaticales, no hablo inglés.
pregunta Anh Đức Lương 05.12.2018 - 13:49
fuente

3 respuestas

3

Lo que suele ocurrir es que la CA crea un certificado para una empresa y esa empresa firma el software. La CA valida si la compañía es quien dice que es, pero no comprueba el software en absoluto.

Entonces, una corporación llamada ACME puede obtener un certificado para ACME de Thawte CA. Entonces pueden firmar cualquier software con eso. Si recibe dicho software firmado, todo lo que sabe es que ACME lo firmó. No dice nada sobre el software. Thawte no verificó el software, solo verificó si dio un certificado ACME para ACME.

Si no conoce a la compañía, el hecho de que esté firmada no ofrece ningún tipo de seguridad. Solo ofrece seguridad si conoce y confía en la empresa. Por ejemplo, si el software está firmado por Microsoft, generalmente confío en que no sea malicioso. Si está firmado por ACME, todavía no lo sé.

    
respondido por el Sjoerd 05.12.2018 - 13:55
fuente
1

Además de respuesta de Sjoerd , también confía en la autoridad de certificación (en este caso, Thawte) para Han hecho su trabajo.

¿Qué sucede si el certificado fue emitido por un CA chino, brasileño, ruso, holandés, nigeriano, indio (etc.)? En última instancia, usted (también) confía en la credibilidad que otorga a todas las instituciones en la cadena de certificados.

    
respondido por el Jan Doggen 05.12.2018 - 14:22
fuente
0

Hay dos niveles de confianza aquí.

  1. Thwate CA ha verificado la compañía de software y les ha dado una clave privada. ¿Confías en Thwate CA para hacer esto? Bueno, dado que están en el almacén raíz de Windows, eso sería razonable.

  2. Ahora, si confía en Thwate CA para verificar la compañía de software, confíe en la compañía de software. ¿Son lo suficientemente competentes como para no haber perdido sus claves de partes maliciosas? También confía en ellos en general para hacer software seguro.

Algunos fabricantes de software no firman su software, sino que publican un hash de sus instaladores en línea. En mi opinión, firmar el software con un certificado en el que confíe la tienda raíz del sistema operativo es una mejor opción que publicar un hash en un sitio web, pero depende de lo que esté protegiendo.

Haría más preguntas básicas en lugar de software firmado. ¿Quién le dio el software? ¿Lo recibiste por email o descarga? ¿Conoces a la persona que te lo envió? ¿El AV lo recogió? Puede enviarlo a VirusTotal si tiene poca confianza, etc. etc.

    
respondido por el keithRozario 06.12.2018 - 09:13
fuente

Lea otras preguntas en las etiquetas

¿Cómo funciona CRIME contra las cookies? ¿cómo detectar un spyware a través de http?