venerdì 28 settembre 2012

Chiavi private e firma digitale: davvero private ?


Ci risiamo...
Adobe security chief Brad Arkin has warned that hackers have managed to create malicious files with Adobe's digital code-signing signature.
According to a blog post published on Thursday, the issue appears to have been the result of hackers compromising a vulnerable build server
Adobe plans next week to revoke the certificate for all code signed before July 10, 2012...
(più precisamente: butta via la propria chiave privata e chiave pubblica, poi chiede alla propria CA di revocare il certificato che associa Subject=Adobe a quella chiave pubblica)
However, even when a CA (Certificate Authority) revokes a certificate for an abused private key, any digital signature made before the revocation date will remain valid.

Ogni volta che parlo di queste cose non manco di evidenziare questi problemi. 
Vedi anche questo post.
Posta un commento