10.08.2004 8:21:34Проверка подписи Ответов: 7
Max13
Поясните по пунктам алгоритм действия для проверки подписи.
Допустим, что у нас есть хитрый злоумышленник имеющий доступ к компьютеру на котором производится проверка. Он подкладывает в хранилище сертификатов свою подпись и свой удостоверяющий центр, который подтверждает эту подпись. Потом он присылает подписанное этой подписью письмо. Пользователь проверяет подпись и программа сообщает, что подпись проверена! Цепочки верны!
Как сделать, чтобы этого не произошло? Если можно, то в терминах командной строки.
 
Ответы:
10.08.2004 9:43:55kure
Все таки нужно разделить две вещи: алгоритм проверки подписи и защита от
"хитрого злоумышленника имеющего доступ к компьютеру".
Если вы исходите из возможности злоумышленника получения доступа к компьютеру да еще с администраторскими правами, то проверяй/не проверяй подпись...
10.08.2004 9:49:56Max13
Т.е. ограничения доступа к закрытому ключу недостаточно? Необходимо еще и ограничение доступа к компьютеру на котором идет работа с подписями?

А нельзя ли каким-либо образом проверять ID удостоверяющего центра, подписавшего сертификат?
10.08.2004 10:12:00kure
А зачем проверять ID центра, если злоумышленник имеет доступ к компьютеру.
Насколько при этом вы будете уверены что программа проверяет то, что нужно вам, а не злоумышленнику и соответственно отображает результаты проверки.
10.08.2004 11:38:51Max13
Т.е. вариант все-таки один - кабинет с ограниченным доступом?
10.08.2004 11:45:59kure
Конечно, если вы изначально ставите условие, что к вашему компьютеру (софту, железу) может получить полный доступ злоумышленник.
10.08.2004 12:06:48Василий
Дополнение такое.
Все сертификаты, в т.ч. сертификаты центра, устанавливаются в разные хранилища сертификатов Windows для разных пользователей. Поэтому, если не говорить Злоумышленнику свой пароль (и пароль администратора) и блокировать компьютер при отсутствии Вас на месте, то Злоумышленник не сможет установить свои сертификаты в Ваши хранилища. Стало быть, Вы будете доверять только тем сертификатам, которым надо.
Конечно, есть еще вариант загрузить другую ОС, выдрать с Вашей ОС файлы реестра, пытаться отредактировать их и потом запихать обратно, но это не самый простой путь (по сравнению с установкой сертификатов).
10.08.2004 13:06:52Max13
Спасибо за консультацию.