公開鍵証明書について調べてるときに、気になった。
有名なベリサインは何を持って証明書を発行するのか。
発行先を確かにその発行先だと証明するために何を調査するのか。
それは、結構クリティカルな部分じゃないのかなあ。
で、結局第三者がまとめたデータベースから、その会社の代表電話番号を持ってきて、そこにかけると。
で、技術担当者に電話で確認すると。
後は、登記事項証明書を郵送することで確認する。
(法人じゃないと、士には出してるらしい。弁護士とか)その場合、証明するのは印鑑証明。
つまり
1.第三者がまとめたデータベースの電話番号と、実際の企業電話番号との一致
2.申請書と、技術担当者の在籍&申請意志との一致
3.登記事項証明書(or 印鑑証明)による申請者の身分保証
の3点で確認してるわけだ。
つまり、攻撃は2点必要。
1.第三者(帝国データバンクっぽい)のデータベース
2.登記事項証明書(or 印鑑証明)
両方が攻撃できれば、その本人でなくても証明書を発行してもらえる。
…気がついたときの証明書無効の方法も調べておかないとなあ。
参考:
名古屋工業大学大学院おもひ領域 情報工学専攻 岩田研
.p12の証明書が流出するとなりすまされるとかベリサインが書いてて何言ってんだろうと思ったけど、
証明書に秘密鍵がくっついてるファイルなんてのがあるのね。ということが一覧で判って便利。
0 件のコメント:
コメントを投稿