※ 引述《rni (aa)》之铭言:
: 刚刚看报导
: https://vulreport.net/vulnerability/detail/91
: 原来不是被不只把木马清掉那么简单而已
: 是数位签章被偷走/泄漏了
: (请注意网页的最后一行 "后门被签上garena正式数位签章")
: Q:什么是数位签章?
: A:通常包含在软件里面,用以证明该软件是该公司发行
: Q:被偷走的结果是?
: A:骇客可以制做各种木马然后加上这数位签章放到官网上让大家下载,
: 安装的时候画面会正常显示本软件由Garena发行
: 你跟作业系统都会乖乖上当,然后在中一次新的不明程式喔
: Q:不能换一个数位签章吗?
: A:可以重新申请一张新的,不过这样的话
: Garena的所有游戏,玩家都需要重新下载&安装,
: 连一些实体光盘都需要作废重做新的。
: 你觉得G社会这样做吗?
: Q:G社这样做就安全了吗
: A:有一就有二,天知道
: Q:G社不是送防毒了吗?
: A:防毒软件是防防毒软件看得懂的病毒
: 只要骇客放的是一个还没写进病毒数据库或判断不出的恶意程式
: 因为数位签章的关系跟妳说可以信赖的关系
: 你跟作业系统会乖乖按YES安装他
刚刚循着原文去看了关于巴哈的文章
发现底下有一段关于数位签章的解说:
关于数位签章
在资讯安全的原则中,其中非常重要的一环,即为不可否认性(non-repudiation),假设
在正常情况下,A 传讯息给 B,之后就不能否认曾经传过讯息,此即为不可否认性。
但这应该如何做到呢? 答案就是 Digital Signature(数位签章)
Digital Signature 的使用情境大概如下:
假设 A 要传讯息给 B,但是 B 要如何确认讯息真的是由 A 发送的呢?
此时只要 A 在发送前利用自己的 private key 将讯息加密,再传给 B,B 再利用 A 的
public key 进行解密。
如果讯息可以正确解密,就可以确定讯息是由 A 所发出;即使讯息在传送过程中被 C 所
拦截,再使用 A 的 public key 还原成原本的讯息,还是没办法伪装成 A 所发送的讯息
(因为这需要 A 的 private key)。
因此,Digital Signature 的主要作用即是在确定不否可定性(non-repudiation);而
Digital Signature 在实际应用上是很有意义的,因为这项技术代表了授权机制可以很
容易建立起来。
所谓的不可否认性:
不可否认性 数位签章可协助证明所有合作对象均为签署内容的来源。“否认性”代表
签章者否认与已签署内容有任何关联性的动作。不论签章者的声明为何,这都可协助证明
文件的建立者是真正的建立者,而非其他人。签章者无法在不否认其数位金钥的情况下否
认该文件上的签章,因而否认利用该金钥签署的其他文件。
其实这样我想到一个问题
按照上述的解释
是不是代表
以后骇客不管做些什么
都可以说是Garena作的而且他无法否认
除非他更换签章
奇怪 明明很危险
我怎么觉得有点爽....