※ 引述《rni (aa)》之銘言:
: 剛剛看報導
: https://vulreport.net/vulnerability/detail/91
: 原來不是被不只把木馬清掉那麼簡單而已
: 是數位簽章被偷走/洩漏了
: (請注意網頁的最後一行 "後門被簽上garena正式數位簽章")
: Q:什麼是數位簽章?
: A:通常包含在軟體裡面,用以證明該軟體是該公司發行
: Q:被偷走的結果是?
: A:駭客可以製做各種木馬然後加上這數位簽章放到官網上讓大家下載,
: 安裝的時候畫面會正常顯示本軟體由Garena發行
: 你跟作業系統都會乖乖上當,然後在中一次新的不明程式喔
: Q:不能換一個數位簽章嗎?
: A:可以重新申請一張新的,不過這樣的話
: Garena的所有遊戲,玩家都需要重新下載&安裝,
: 連一些實體光碟都需要作廢重做新的。
: 你覺得G社會這樣做嗎?
: Q:G社這樣做就安全了嗎
: A:有一就有二,天知道
: Q:G社不是送防毒了嗎?
: A:防毒軟體是防防毒軟體看得懂的病毒
: 只要駭客放的是一個還沒寫進病毒資料庫或判斷不出的惡意程式
: 因為數位簽章的關係跟妳說可以信賴的關係
: 你跟作業系統會乖乖按YES安裝他
剛剛循著原文去看了關於巴哈的文章
發現底下有一段關於數位簽章的解說:
關於數位簽章
在資訊安全的原則中,其中非常重要的一環,即為不可否認性(non-repudiation),假設
在正常情況下,A 傳訊息給 B,之後就不能否認曾經傳過訊息,此即為不可否認性。
但這應該如何做到呢? 答案就是 Digital Signature(數位簽章)
Digital Signature 的使用情境大概如下:
假設 A 要傳訊息給 B,但是 B 要如何確認訊息真的是由 A 發送的呢?
此時只要 A 在發送前利用自己的 private key 將訊息加密,再傳給 B,B 再利用 A 的
public key 進行解密。
如果訊息可以正確解密,就可以確定訊息是由 A 所發出;即使訊息在傳送過程中被 C 所
攔截,再使用 A 的 public key 還原成原本的訊息,還是沒辦法偽裝成 A 所發送的訊息
(因為這需要 A 的 private key)。
因此,Digital Signature 的主要作用即是在確定不否可定性(non-repudiation);而
Digital Signature 在實際應用上是很有意義的,因為這項技術代表了授權機制可以很
容易建立起來。
所謂的不可否認性:
不可否認性 數位簽章可協助證明所有合作對象均為簽署內容的來源。「否認性」代表
簽章者否認與已簽署內容有任何關聯性的動作。不論簽章者的聲明為何,這都可協助證明
文件的建立者是真正的建立者,而非其他人。簽章者無法在不否認其數位金鑰的情況下否
認該文件上的簽章,因而否認利用該金鑰簽署的其他文件。
其實這樣我想到一個問題
按照上述的解釋
是不是代表
以後駭客不管做些甚麼
都可以說是Garena作的而且他無法否認
除非他更換簽章
奇怪 明明很危險
我怎麼覺得有點爽....