Уязвимы ли временные подписи через HTTP?

Я использую signtool для подписи своих двоичных файлов Windows и использую сервер временных меток Digicert http://timestamp.digicert.com

Я заметил, что большинство серверов временных меток размещены на HTTP. Разве это не менее безопасно, чем HTTPS?

Подписаны ли ответы с метками времени, и signtool проверяет, что ответы не подделаны?


ssl openssl signtool cryptography trusted-timestamp
person GAR    schedule 01.05.2020    source источник
comment
Да, «доверенные» метки времени подписаны, см. RFC3161. Я не знаю, проверяет ли это signtool, но, что более важно, каждый раз в течение следующих 5, 10 или 20 лет, когда кто-либо запускает эту программу, OS проверяет подпись метки времени, прежде чем доверять ей подтверждение кода. подпись, потому что, даже если вы прикрепите действительную метку времени и подпись, кто-то может позже заменить их поддельными и вредоносным кодом.   -  person dave_thompson_085    schedule 02.05.2020

Ответы (1)


arrow_upward
0
arrow_downward

Предоставление услуги отметки времени без проверки подлинности через HTTP не менее безопасно, чем HTTPS, потому что вы не отправляете пользователя/пароль для доступа к службе TSA.

Более того, подлинность сообщения уже обеспечивается подписью TSA (и клиент должен ее проверить).

Если вы публикуете двоичный файл программного обеспечения, вы не беспокоитесь о конфиденциальности хэша. Но мы можем выяснить ситуации, когда никто не должен знать, что вы являетесь владельцем документа, или что вы ставите на нем отметку времени.

В любом случае хэш вашего файла, который вы отправляете, создается с одноразовым номером. Целью использования одноразового номера является проверка своевременности ответа и предотвращение ответных атак, как описано в параграфе 2.4.1 RFC3161, но побочным эффектом также является повышение конфиденциальности.

person cisba    schedule 05.06.2020