https://opennet.ru/openforum/vsluhforumID3/104788.html Компания D-Link случайно разместила (https://news.ycombinator.com/item?id=10235382) в открытом доступе закрытые ключи, используемые для формирования цифровых подписей к своим прошивкам и драйверам. Ключи были обнаружены в одном из пакетов с открытыми компонентами прошивок. Также удалось обнаружить скрипты, содержащие команды и пароли для генерации цифровой подписи. <br><br><br> Ключи были найдены при попытке изучения пакета с GPL-компонентами для web-камеры D-Link DCS-5020L. По счастливому стечению обстоятельств время жизни ключей истекло в начале сентября, т.е. они больше не могут быть использованы для формирования новых цифровых подписей. При этом не исключено, что злоумышленники могли узнать об утечке раньше и использовать ключи для организации распространения фиктивных прошивок. D-Link отреагировал на проблему и разместил новый вариант пакета с GPL-компонентами, из которого удалены файлы, связанные с формированием цифровых подписей.<br><br><br><br>URL: https://news.ycombinator.com/item?id=10235382<br>Новость: http://www.open https://opennet.ru/openforum/vsluhforumID3/104788.html#70 Tue, 22 Sep 2015 15:39:22 GMT &gt;&gt;&gt; Подписывают вообще-то в CA навроде thawte, symantec. Это надо у них время <br>&gt;&gt;&gt; перевести и у всех их клиентов 8) <br>&gt;&gt; И мне интересно, как осуществляется проверка валидности подписи <br>&gt;&gt; при использовании ее в прошивке.<br>&gt; Если хоть что-то не пройдет, то подпись считается невалидной.<br><br>Само собой процесс описан для идеального коня в ваакуме. Часто эти зависимости игнорируюстся, например, выставляется необязательность иметь свежий список отзыва или на "дельта-список" вообще забивают и выкручивают у обычного списка отзыва дату до предела<br><br><br> https://opennet.ru/openforum/vsluhforumID3/104788.html#69 Tue, 22 Sep 2015 15:35:31 GMT &gt;&gt; Подписывают вообще-то в CA навроде thawte, symantec. Это надо у них время <br>&gt;&gt; перевести и у всех их клиентов 8) <br>&gt; насколько я знаю: СА удостоверяют твою подпись. То есть они подписывают твой <br>&gt; ключ, которым ты подписываешь что либо. Соответственно т.к. ключ подписан, им <br>&gt; уже до сентября можно подписать что угодно, единственно они могли отозвать <br>&gt; сертификат данного ключа. И мне интересно, как осуществляется проверка валидности подписи <br>&gt; при использовании ее в прошивке.<br><br>Для ограничения действия подписи есть:<br>* Срок действия сертификата<br>* TimeStamp-сервер для подписывания<br>* Список отзыва сертификата<br><br>Соответственно, если файл подписан без TimeStamp, подпись протухает вмесе с сертификатом<br>Если подписан с использованием TimeStamp, подпись не протухает никогда<br><br>по отзывам - в каждом сертификате (и соответственно в подписи) есть ЛИБО флаг того, что его самого на отзыв проверять не нужно и негде (нормально только у корневых сертификатов), либо URI для а) списка отзывов б) дельта-списка отзыв https://opennet.ru/openforum/vsluhforumID3/104788.html#68 Tue, 22 Sep 2015 15:24:38 GMT &gt;&gt; Самое паршивое, что, если это утекло раньше, то подписанный сертификатом CodeSigning <br>&gt; (не заглядывая) А им-то оно зачем?!<br><br>Дрова подписывать и прикладухи. Получить сертификат WHQL и Windows * - compatible нельзя иначе. Да и на дровишки неподписанные ругается так, что не поставить без бубна специальной формы.<br>А - скорее всего - для экономии - сертификат был один на все.<br> https://opennet.ru/openforum/vsluhforumID3/104788.html#67 Tue, 22 Sep 2015 15:20:06 GMT Для подписи типа CodeSign, чтобы подпись оставалась валидной _после_ истчения срока действия сертификата, нужно использовать внешний "третий" доверенный источник, т.н. timestamp-сервер. <br>Если подпись произведена без TS-сервера, то подпись протухает вмесе с сертификатом, если TS был, то подпись остается валидной, даже если истек сертификат<br>Тут подробнее https://msdn.microsoft.com/ru-ru/library/windows/desktop/bb931395(v=vs.85).aspx<br> https://opennet.ru/openforum/vsluhforumID3/104788.html#66 Mon, 21 Sep 2015 23:56:20 GMT &gt; Подписывают вообще-то в CA навроде thawte, symantec. Это надо у них время <br>&gt; перевести и у всех их клиентов 8) <br><br>насколько я знаю: СА удостоверяют твою подпись. То есть они подписывают твой ключ, которым ты подписываешь что либо. Соответственно т.к. ключ подписан, им уже до сентября можно подписать что угодно, единственно они могли отозвать сертификат данного ключа. И мне интересно, как осуществляется проверка валидности подписи при использовании ее в прошивке.<br> https://opennet.ru/openforum/vsluhforumID3/104788.html#65 Mon, 21 Sep 2015 05:16:43 GMT Подписывают вообще-то в CA навроде thawte, symantec. Это надо у них время перевести и у всех их клиентов 8)<br> https://opennet.ru/openforum/vsluhforumID3/104788.html#64 Sun, 20 Sep 2015 02:42:29 GMT &gt; По счастливому стечению обстоятельств время жизни ключей истекло в начале сентября<br><br>а то стал бы кто иначе рассказывать, такую годноту палить.<br> https://opennet.ru/openforum/vsluhforumID3/104788.html#63 Sun, 20 Sep 2015 00:25:47 GMT &gt;&gt;По счастливому стечению обстоятельств время жизни ключей истекло в начале <br>&gt;&gt;сентября, т.е. они больше не могут быть использованы для формирования новых &gt;&gt;цифровых подписей.<br><br>Я таки не понял, что помешает злоумышленнику выставить 30 августа и подписать то что ему нужно?<br> https://opennet.ru/openforum/vsluhforumID3/104788.html#62 Sat, 19 Sep 2015 13:30:29 GMT &gt; Броадком как-то раз помнится выложил сорец<br><br>Ссылку в студию или там только древние чипы?<br><br>Меня лично на данный момент интересует bcm5357 и bcm43142. Если на старых ядрах wl драйвер хоть как-то работает, то на новых доходит до подвешенной системы. Наличие исходников под _любой_ лицензией резко бы повысило шансы на появление нормальных открытых драйверов пригодных на включение в ядро, не говоря уже об банальном баг фиксе того что бродком наваял. <br>