Подписанные двоичные файлы для цифровых подписей

Принимая во внимание неотказуемость, как можно действительно гарантировать, что средство просмотра документов или подписывающее приложение, или и то, и другое не были заменены вредоносным кодом?

Безопасность пользовательской машины важна для всего, что касается безопасности. Если вы не можете доверять своей операционной системе и установленным приложениям, то каждый механизм подписи может быть сломан или обманут.

Даже если двоичные файлы были подписаны, похоже, нет способа предотвратить изменение кода в памяти. Даже если так, не мог ли злоумышленник просто изменить как средство просмотра, так и подписывающее приложение?

Да он может.

Безопасность вашего компьютера можно оценить с учетом самого слабого из ваших механизмов безопасности. Создавайте сильные криптографические усилия, это вообще бесполезно, если ваша операционная система была скомпрометирована.

РЕДАКТИРОВАТЬ:

Итак, как мне убедиться, что операционная система не была взломана?

Что ж, никогда нельзя быть абсолютно уверенным в безопасности своей ОС. Следует учитывать множество разных вещей:

1. сколько людей имеют доступ к этой операционной системе?
2. о какой операционной системе вы говорите?
3. какие задачи выполняют пользователи этой ОС?
4. Эта ОС подключена к Интернету? Если да, то как организована ваша сетевая инфраструктура?

Могу ли я загрузить операционную систему и мое приложение с диска, доступного только для чтения?

Я не знаю об этом. Может, у тебя получится. Но если кто-то может использовать службу, работающую на вашем компьютере (например, серверное приложение с привилегиями root), то доступный только для чтения диск вас не спасет.

Что вы порекомендуете?

Прежде всего попробуйте оценить уровень безопасности, который действительно необходим вашей системе. Вероятно, вы не сможете добиться идеальной безопасности. Тогда постарайтесь найти хороший компромисс.

Помните, что безопасность и удобство использования могут стать компромиссом. Если вы обеспечите соблюдение своей политики безопасности, удобство использования вашей системы может ухудшиться.

Что касается моих личных советов:

1. Используйте операционную систему с открытым исходным кодом. В противном случае вы не сможете быть уверены в том, что на самом деле происходит внутри вашей машины.
2. Попробуйте настроить ограничительный брандмауэр. Запретите доступ к сети для всех сервисов, кроме тех, которые вам действительно нужны.
3. Если ваша система используется многими людьми (особенно если они ничего не знают о безопасности), попробуйте научить их некоторым принципам безопасности. Люди часто являются самой слабой частью, которую можно использовать (например, социальная инженерия).
4. Устанавливайте только программное обеспечение с открытым исходным кодом или программное обеспечение, которому вы действительно доверяете. Держите вашу систему в актуальном состоянии.

Неотрекаемость - очень дискуссионная тема. В ЕС существует Директива (1999/93 / EC), которая предусматривает что-то вроде «То, что вы видите, то и подписываете» для таких подписей о неразглашении авторских прав. Как вы уже сказали, сложная часть состоит в том, как мы можем дать эту гарантию?

Если ваша ОС скомпрометирована, то есть злоумышленник может испортить вашу машину на уровне ОС, тогда одно защищенное устройство подписи (например, смарт-карта) не сможет вас спасти. Хотя устройство защищено, злоумышленник может отобразить на экране что-то, что сильно отличается от того, что вы в конечном итоге подписываете.

Подписанный и, следовательно, доверенный код также не является решением этой дилеммы. Программное обеспечение может быть примерным безопасным, но вы все равно можете возиться с входами и выходами, будь то в файловой системе, в памяти и т. Д.

Таким образом, единственный действительно безопасный способ обеспечить соблюдение этого принципа WYSIWYS - это безопасное аппаратное устройство, которое выполняет и подписание и отображение данных вне канала, которое отключено от любопытные взгляды вашей зараженной ОС. В идеале он также позаботится о вводе ПИН-кода (пин-пад или иного), потому что ввод ПИН-кода на машине с установленным регистратором ключей - небезопасен. Только тогда пользователи могут быть уверены, что то, что они видят на дисплее, было именно тем, что было передано на устройство, и тогда они смогут решить, применять ли свою подпись неотказуемости или нет.

Эти устройства существуют (по крайней мере, я видел их в реальной жизни без аспекта дисплея - о тех, о которых я слышал только разговоры людей), но пока они остаются редкостью, потому что все еще слишком дороги для их массового распространения.