パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

OpenSSHにトロイの木馬」記事へのコメント

  • 電子署名も (スコア:4, 参考になる)

    by Anonymous Coward
    MD5チェックサムでの確認もよいですが、より安全にするなら
    電子署名をチェックした方が良いでしょう。

    openssh-3.4p1.tar.gzに対する署名はここ [openbsd.org]。
    djm@mindrot.org による署名です。

    公開鍵はPGP公開鍵検索 [nic.ad.jp]などで検索できます。
    • Re:電子署名も (スコア:1, 参考になる)

      by Anonymous Coward
      でもね、 ftp.openbsd.org のファイルが何者かに差し替えられたのは、もしかしたらその署名者のアカウントが乗っ取られたせいかもしれないよ。 MD5チェックサムはFreeBSDやRed Hat Linuxのような第三者のパッケージに記録されているわけだし、そちらを信用して間違いはないと思う。
      • by Anonymous Coward
        ちと表現を間違えてました...

        > 電子署名をチェックした方が良いでしょう。

        じゃなくて

        電子署名チェックした方が良いでしょう。

        のつもりでした。
        # ぜんぜん違うなこりゃ

        せっかく2系統の検証手段があるんだから、両方やった方がより
        安全だろうということです。

        んでついでにフォローしておくと、電子署名を乗っ取るためには
        暗号化された秘密鍵ファイルと秘密鍵を外すパスフレーズを入手
        する必要があります。OpenBSDのFTPサーバ内にこれらの情報を置
        いているとは考えにくいので、電子署名をすり替えるのはFTPサー
        バ内のファイルをただすり替える
        • Re:電子署名も (スコア:5, 参考になる)

          by Anonymous Coward on 2002年08月02日 18時10分 (#138425)
          電子署名を乗っ取るためには 暗号化された秘密鍵ファイルと秘密鍵を外すパスフレーズを入手 する必要があります。

          そうとは限りません。crackerは"djm@mindrot.org"を勝手に名乗る秘密鍵・公開鍵の対を作ることができ、それを用いてtrojan horse archiveに署名をつけ、trojan horse archiveとともに置いておくことができます。この勝手な公開鍵も一緒に置いておくのも良いし、さらにどこかの鍵サーバに勝手に登録しておくこともできるでしょう。

          というわけで、電子署名を検証する際には、それが本当に「本物の」djm@mindrot.orgの鍵で署名されているかどうか(自分がどこからか入手したdjm@mindrot.orgの公開鍵が、本当にdjm@mindrot.org本人のものなのか)を確認しなくてはいけません。また、djm@mindrot.org自身が信用でき、trojan horse archiveに盲判を押すように電子署名をつけてしまったりせず、本人がその秘密鍵を保存しているディスクや、パスフレーズを入力するマシンに触れる人間が他に無く、それらが常に安全で信頼できる状態にあり、そしてまた、そしてまた、そしてまた、……という確認ができて、はじめて、MD5以上の価値を持つものとなるわけです。

          「電子署名」という言葉から、何かMD5より信頼できそうな印象を受けてしまいますが、上のような状況に確認がとれない限りは、それはMD5以上の信用を与えてくれるものではないのだ、ということは忘れてはいけません。(鍵自体が信頼できるかどうか分からない時は、技術的には電子署名はまさにMD5と同等の意味しか持ちません。)

          ま、複数のチェックサムなりMD5なりで確認できれば、それなりに信頼できる方向に漸近できるという意味で、元コメントを書いた人は分かって書いていると思いますが。あとでコメントを読んだ不馴れな人が「へぇ、電子署名てので確認できれば安全なんだな」と勘違いしてしまわないように、念のためコメントしておくものです。

          親コメント

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

処理中...