引用:
作者marks
只有內鬼才生得出數位簽章嗎?
為什麼還沒有可能用偽造的方式去生出數位簽章呢?
|
數位簽章無法偽造,或是自建(自建簽章第三方無人信任等於無用)
因為安全軟體很多自帶HIPS的也都會內建一份安全名單
這份名單會去核對應用程式的數位簽章
只要簽章無法通過驗證,管你會不會做壞事
第一步就是不信任你,就算想搞鬼也沒有權限
問題可能是簽章工具洩漏
加料之後重新簽署,再佈署到官網
通常不會有人每天去檢查自己家web的檔案正確性
所以就神不知鬼不覺的下載好幾十天後才發現問題不對
也有可能是原本的正常版本被有心人士下載
在不破壞簽章的情況下加料
然後通過內鬼佈署上官網
因為數位簽章的簽署工具,在一般正常的公司
都不是隨便一個路人甲,要用就可以用的
是經過管制的,特定人士財也使用簽章簽署的權限
如果不是內鬼而是外人所為
目前的確是有方法可以繞過簽章的驗證特性
成功加料不破壞簽章
不過方法需要的技術要求太高
而且有所限制,還需特殊條件皆能成立的情況才有可能辦得到
過去十年,此種案例寥寥可數
然後你成功加料不破壞簽名
還要駭進人家官網
放上加料版本給人下載
這不是說完全不可能
只是種種情況,完美突破
現實生活更難看得到
所以我個人推測內鬼配合可能性比較高