JP2010508567A - コンピューティングデバイスにおけるマルウェアの無効化 - Google Patents
コンピューティングデバイスにおけるマルウェアの無効化 Download PDFInfo
- Publication number
- JP2010508567A JP2010508567A JP2009517383A JP2009517383A JP2010508567A JP 2010508567 A JP2010508567 A JP 2010508567A JP 2009517383 A JP2009517383 A JP 2009517383A JP 2009517383 A JP2009517383 A JP 2009517383A JP 2010508567 A JP2010508567 A JP 2010508567A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- revocation
- information
- stored
- software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
コンピューティングデバイスは、これからロードされるソフトウェアアプリケーションに係る認証の証明書が失効されたか否かを決定する改良チェックを実施する方法を備え、動作する。失効情報を含まない信頼できる一連の証明書の場合、このデバイスは、デバイスが選択したAIA(Authority Info Access)エクステンションを用いてチェックする。特に自己署名の証明書を含む信頼できない一連の証明書の場合、このデバイスはソフトウェアアプリケーションに備えられた全ての認証失効情報を無視し、常にこのデバイスに格納された情報を用いるように制御される。
Description
本発明は、コンピューティングデバイスにおけるマルウェアを無効にさせる改善された方法に関する。特に、悪意のある、または安全でないソフトウェアのインストレーションを検出して避けることができる、マルウェア無効化の改善された方法に関する。
「コンピューティングデバイス」と言う用語は、制限なく、デスクトップやラップトップコンピュータ、パーソナルデジタルアシスタント(PDA)、携帯電話、スマートフォン、デジタルカメラおよびデジタルミュージックプレーヤを含んでいる。またこの単語は、その他多くの工業用および家庭用電子機器を一緒にした、これらの種別の機器の1つ以上からなる機能を組み込む装置も含んでいる。
コンピューティングデバイスを用いると、購入後にユーザがソフトウェアをインストールでき、新しいソフトウェアが利用可能、または新しい機能が提供される、このコンピューティングデバイスを、オープンデバイスと定義する。
この方法で、デバイスの有用性を広げるというはっきりとした利益があるが、この容易さによりデバイスのオーナまたはユーザは大きなセキュリティリスクを被っている。当業者やこの分野にそれほど詳しくない人も、ひどい記載のプログラム、あるいは悪意のあるプログラム(マルウェア)がオープンコンピューティングデバイスに影響を与えるという大きなリスクのあることに気付いている。ネットワーク上で、このコンピューティングデバイスが他のデバイスと接続されると、このリスクはこのネットワークに接続された他のあらゆるデバイスに広がり得る。そして、ネットワーク自体の保全性をも脅かすことになる。このようなマルウェアには、多くの種類がある。すなわち、一般のタイプとして、ウィルス、トロイの木馬(trojan)、スパイウェアやアドウェアなど、無制限にある。
オープンコンピューティングデバイスに含まれる様々なタイプのマルウェアの検出、予防および失効をユーザに提供するソフトウェアパッケージがたくさん出回っている。アンチウィルスソフトウェアは、数10億ドルの市場となっている。しかし、一般的に当業者に理解されているように、もし実現可能なら、まずはマルフェアに感染することを防ぐ方が良い。
あらゆるオープンコンピューティングデバイスに対して感染を防ぐのに鍵となる原理の1つに、ソフトウェアのアイテムを全て点検することがある。ここでソフトウェアは、次のような過程を経てインストールされる。
a)ソフトウェアの同一性を認証し、ソフトウェアがマルウェアでなく、真正のソフトウェアを提供する信頼されたソースを起源とすることを裏付ける。
b)ソフトウェアが、その信頼されたソースを離れ、エンドユーザに渡されデバイスにロードされるまでの期間に、どんなタイプのマルウェアにも改ざんを受けたり、感染を受けたりすることがなかったことを確かめる。
a)ソフトウェアの同一性を認証し、ソフトウェアがマルウェアでなく、真正のソフトウェアを提供する信頼されたソースを起源とすることを裏付ける。
b)ソフトウェアが、その信頼されたソースを離れ、エンドユーザに渡されデバイスにロードされるまでの期間に、どんなタイプのマルウェアにも改ざんを受けたり、感染を受けたりすることがなかったことを確かめる。
変更検出を保証する方法の1つとして、インストールすべきパッケージのハッシュまたはダイジェストを、そのパッケージの信頼された著者または販売業者により刊行された類似のハッシュと比較することがある。インターネット標準RFC1321に記載されているこの保証を提供する標準的方法の1つは、ロナルド・リベスト(Ronald Rivest)のMD5であった。もう1つの標準的方法は、米国安全保障局(US National Security Agency)により刊行されたSHAアルゴリズムである。しかし、これらの方法の保全性は、有効として信頼されるこの刊行されたハッシュが、実際は、それ自体が感染にさらされ得ないソースに基づいている、という保証に依存する。
感染検出のこれに代わるもう1つの方法として、悪いと周知されたパッケージのハッシュの信頼できるリストとパッケージのハッシュとを比較することがある。しかし、この解決法は、以下の理由から不十分なものである。
−この方法は、実際、予防策というより、受身的な策である。
−この方法は、あまりにも簡単に回避し過ぎている。なぜなら、マルウェアの作者は、必ず異なるハッシュが計算されるようにデータの僅少部分をランダムに変化させている。この変化により、簡単にパッケージの明瞭な同一性を変化させて、この信頼されるリストと比較すると許容できる結果を導いてしまう。
−この方法は、実際、予防策というより、受身的な策である。
−この方法は、あまりにも簡単に回避し過ぎている。なぜなら、マルウェアの作者は、必ず異なるハッシュが計算されるようにデータの僅少部分をランダムに変化させている。この変化により、簡単にパッケージの明瞭な同一性を変化させて、この信頼されるリストと比較すると許容できる結果を導いてしまう。
以上の後者の理由からわかるのは、実際上は、変更検出のための技術が、この完全性を保証する同一性を証明することに依存しているという結論に導かれる。
ソフトウェアのアイテムの完全性を証明し、有効とする最も周知された技術は、鍵(キー)要素として、非対称または公開鍵(公開鍵)の暗号を用いた署名および証明書に依存している。公開鍵基盤(public key infrastructure、以下PKIと言う)に関するITU-T X.509標準は、この方法を規定する1つの例である。インストールすべきソフトウェアの全アイテムに対する認証に適用されるこの技術は、概略、次のように実行される。
1.公共の場で利用できるようになったコンピューティングデバイスのためのソフトウェアアプリケーションは、そのソフトウェアの著者、開発者あるいは販売者によりデジタル署名された第1インスタンス内にあるパッケージにコンパイルされ、これには、公開鍵とコンテンツの保全ハッシュの両方が埋め込まれる。そして、著者、開発者あるいは販売者は、このパッケージを信頼できるパーティへ送ることで、認証機関(Certification Authority、以下「CA」と言う)を制定できる。
2.CAはパッケージに再び署名することで、パッケージの第1の署名が、CAによって信頼できる然るべき人間であることを示す。理想的には、ソフトウェアアプリケーションは、CAによって、診断、試験あるいはチェックされ、ソフトウェアは、記述に不具合や悪意のないことが保証される。次に、再び署名されたパッケージは、元の著者、開発者あるいは販売者に戻され、公共の場で販売することができるようになる。
3.X.509 PKI の方法の長所によりコンピューティングデバイスは、CAによるデジタル証明書(ルート証明書)が供与される。この証明書は、このデバイスのファームウェアの中で供与されるか、あるいはブラウザのようなネットワークアプリケーションにより供与される。
コンピューティングデバイスのユーザは、このソフトウェアのインストーラへインストールを要求すると、インストーラは、ソフトウェアの識別、およびその著者を確認し、また何かに感染していないかを検出するためにソフトウェアに埋め込まれた証明書を検査する。このコンピューティングデバイスは、既にルート証明書を含んでいるので、インストーラはこれを参照してパッケージの同一性および完全性を確認する。そして、ソフトウェアアプリケーションは、これが真正のアプリケーションであるという高次の保証を付けてコンピューティングデバイスにインストールされる。
コンピューティングデバイスのユーザは、このソフトウェアのインストーラへインストールを要求すると、インストーラは、ソフトウェアの識別、およびその著者を確認し、また何かに感染していないかを検出するためにソフトウェアに埋め込まれた証明書を検査する。このコンピューティングデバイスは、既にルート証明書を含んでいるので、インストーラはこれを参照してパッケージの同一性および完全性を確認する。そして、ソフトウェアアプリケーションは、これが真正のアプリケーションであるという高次の保証を付けてコンピューティングデバイスにインストールされる。
X.509 PKI に使用された一連の認証は、この例で説明されたものよりも一般的に長いが、その原理は同じであり、署名された一連の証明書に従って信頼できるCAに最後に戻る。
パッケージの署名の全てが、以上述べた階層構造を持つX.509 PKIに一致するわけではない。その主な理由のひとつとして、X.509対応の証明書が無料のプロセスで決してないことにある。CAをリードするベリサイン(Verisign)では、現在米国において発行する各証明書毎に400ドルかかる(htpp://www.verisign.com/products-services/security-services/code-signing /digital-ids-code-signing/index.html参照)。そしてこの料金はわずかな額ではないため、多くのオープンデバイスの開発者が、この階層構造をもつPKIスキームへ参加することへの妨げとなっている。提出されたソフトウェアをチェックし診断する証明書スキームは一般にかなりの仕事量であることをカバーするために課金される必要がある。すなわち、多くのスキームに関して、完全に無料にすることは、経済的に現実的でない。
代替の証明書モデルは、連署者として活動する特別な状態を必要としない複数パーティによって証明書に署名がなされるという、ウェブ・オブ・トラスト(Web of Trust)に依存している。その連署者の少なくとも一人が、そのユーザに知られ、信頼されたエンティティである限り、連署者は、その証明書を有効にする署名者の公開鍵のコピーを使用できる。
ソフトウェアパッケージは、またその著者自身により署名されることもできる。これは、PKIやウェブ・オブ・トラストにより確認される署名と同じ程度の信頼度を確立できないが、著者自身による自己署名による証明書は、価値のないものとは言えない。それは、非対称暗号(asymmetric cryptography)を用いているので、著者自身による自己署名のパッケージを依然として唯一識別し、それ故サードパーティによる変更に対して比較的堅牢な保証をしている。
ここで以上をまとめると、デジタル署名は、次の3つのゴールを目指している。
1.与えられたパッケージをその公開鍵とシリアル番号により直接的に識別する。
2.デジタル署名により含まれているハッシュまたはダイジェストを確認することにより、パッケージに変更がないか直接的に識別する。
3.この署名の存在は、パッケージが再署名されず、パッケージを他のパッケージと直接的に似させたものではない。そして、オリジナルバージョンの署名に使用された秘密鍵の処理者のみによりこの署名がなし得たものである。
1.与えられたパッケージをその公開鍵とシリアル番号により直接的に識別する。
2.デジタル署名により含まれているハッシュまたはダイジェストを確認することにより、パッケージに変更がないか直接的に識別する。
3.この署名の存在は、パッケージが再署名されず、パッケージを他のパッケージと直接的に似させたものではない。そして、オリジナルバージョンの署名に使用された秘密鍵の処理者のみによりこの署名がなし得たものである。
しかしそれにもかかわらず、デジタル署名および証明書に依存するあらゆる技術に関し、ソフトウェアパッケージが誤って署名されてしまうことが知られている。このプロセスの脆弱性を示すいくつかの例として以下のことがある。
−CAあるいは他の中間署名機関によりパッケージの起草者に設定されたトラスト(信頼)は、誤って設定されているかもしれない。
−パッケージのオリジネータにより、被雇用者あるいはエージェントのうちの一人に設定されたトラスト(信頼)は、誤って設定されているかもしれない。
−X.509チェインの複数の秘密鍵の1つは、感染に犯されているかもしれない。チェイン(繋がり)が長ければ長いほど、リスクが大きい。
−パッケージは過去に疑われたことがなかったかもしれないが、これに続く予期しないセキュリティの欠陥により、パッケージをマルウェアによる攻略に対して弱くしてしまい、供給業者がパッケージを回収することになり得る。
−CAあるいは他の中間署名機関によりパッケージの起草者に設定されたトラスト(信頼)は、誤って設定されているかもしれない。
−パッケージのオリジネータにより、被雇用者あるいはエージェントのうちの一人に設定されたトラスト(信頼)は、誤って設定されているかもしれない。
−X.509チェインの複数の秘密鍵の1つは、感染に犯されているかもしれない。チェイン(繋がり)が長ければ長いほど、リスクが大きい。
−パッケージは過去に疑われたことがなかったかもしれないが、これに続く予期しないセキュリティの欠陥により、パッケージをマルウェアによる攻略に対して弱くしてしまい、供給業者がパッケージを回収することになり得る。
証明書は誤って発行された可能性があるので、証明書を失効させることができるシステムがある。そのシステムには、証明書が実際に今も有効かどうかを調査する、X.509手順が存在する。
オリジナルのX.509標準は、証明書失効リスト(Certificate Revocation List、以下CRLと言う)を必要とし、認証チェインの各署名オーソリティによりダウンロードされる。このリストは、過去に取り消された証明書の全てに関するエントリを含んでいる。更にインターネット標準RFC1422は、プライバシー向上電子メール(PRIVACY-ENHANCED ELECTRONIC MAIL 、以下PEMと言う)で利用されるCRLの形式を定義している。
失効のため証明書をチェックする許可を行う、更に最近の標準的方法は、インターネット標準RFC2560において定義された、オンライン証明書ステータスプロトコル(Online Certificate Status Protocol 、以下OCSPと言う)である。OCSPは、証明書の有効性を確認しようとするエンティティにその許可を与えるため、OSCPレスポンダ(応答者)へ送る、単一の証明書のステータスを調査するためリクエストを作成する。このシステムの恩恵として、長いCRLを検索し調査する必要がもはやないことがある。この結果、ネットワークのオーバーヘッドがより小さくなり、またたった一つの証明書における情報を見つけ出すためにリスト全体を分析する必要がなくなる。
どの失効チェック方法が使われようと、これを実行するエンティティは、CRLの場合には最新の失効リストを得るために行くべきところ、あるいはOSCPリクエストを作成したいときにコンタクトすべき応答者、のどちらかを知っておくことが必要である。この情報を決定する方法は、インターネット標準、RFC3280により提供されており、このRFC3280はこの目的のためX.509の証明書エクステンション(Certificate Extensions)を定義している。
CRLに関し、X.509の「cRL Distribution Points」 エクステンションは、CRLを検索するときその正しい位置を指示する。一方、OSCPに関し、「Authority Info Access」 エクステンション(AIA)は、その証明書の発行者に関する情報とサービスを得るためにコンタクトすべき応答者を示し、可能な失効リクエストについて問合せを行う。(OSCPリクエストは何らかの環境で他の応答者と繋がり得るが)もし応答者が存在するならば、エンティティは、一般的に、これらのフィールドを用いてこのチェインにおける各証明書に関する問合せを分離する。
この既知の方法の記載で、ユーザがインストールを望むあらゆるソフトウェアパッケージのための強制的な署名および証明書によって、任意のオープンコンピューティングデバイスを、より安全なものにすることができる。この手段によって、インストール可能なパッケージの識別は認証され、その内容は本質的に変更のないことが確認される。次の段階でマルウェアに犯されたパッケージは、これらの証明書の手段により識別でき、以上に述べた失効のインフラストラクチャにより取り除かれる。
X.509により定義された確認方法を用いると、それ自身の失効についてチェックする手段を含む証明書は、巡回的になる。その巡回性の最も顕著なケースは、パッケージの著者、製作者あるいは販売者によって自己署名されているか、あるいはだれによっても署名されていないソフトウェアのパッケージに関するものである。ここで誤解を避けるために説明するが、このようなパッケージのための1つの証明書チェインとは、「たまたま、それが単一の証明書で構成されている」といういもので、これは明細書の記載のためのものである。
このようなパッケージは、全ての他のパッケージと同じゴールを目指す環境で、曖昧に識別され、また署名がなされているので変更がないとして確認されてしまう可能性があり、証明書エクステンションに含まれた情報を用いた失効のための信頼し得るチェックを受けることができない。マルウェアに犯されたパッケージの署名はすべて、CRLあるいはOSCPのサーバおよび応答者に対して証明書の有効性をチェックしようとする人は誰でも、あまりにも簡単にこのエクステンションを利用でき、そしてこの場合はもちろん、マルウェアの署名によって統制されているので、好ましいステータスレポートが常に返されることになる。
CRLおよびOSCPのようなメカニズムは、ルート証明書に戻し得る証明書と一緒に動作するようにのみ実際設計されている。自己署名の証明書も、CRLまたはOSCPクライアントをそれらのサーバに案内する標準エクステンションを用いることができる。もちろんこのサーバも自身のソフトウェアのステータスを好ましくレポートするように設計されることになる。この先行技術は、明らかに発行者の署名した証明書にのみ適切なものであり、もし自己署名の証明書が同じスキームに取り入れられると、新しい振る舞いが必要となる。
自己署名されたソフトウェアパッケージにより効果的に働くように、コンピューティングデバイスに証明書失効技術を拡張する方法は、それ故必要である。
本発明の第1の実施形態によれば、1つあるいは複数のセットの予め格納された情報を利用させることを可能にさせ、ソフトウェアパッケージに含まれる1つあるいは複数の一連の証明書によって提供される証明書の失効に係る情報を補足するか、交換するか、あるいは無効にするように、コンピューティングデバイスを動作させる方法がある。そしてこの方法は、コンピューティングデバイスに対して以下の2つの場合において証明書の失効に係る予め格納された情報を利用するようにさせるステップを備える。
a.このソフトウェアパッケージに含まれる前記一連の証明書にこのデバイスに格納された信頼できる証明書が含まれると解明される。
b.このソフトウェアパッケージに含まれる前記証明書のどれもが、失効の情報を含まない。
a.このソフトウェアパッケージに含まれる前記一連の証明書にこのデバイスに格納された信頼できる証明書が含まれると解明される。
b.このソフトウェアパッケージに含まれる前記証明書のどれもが、失効の情報を含まない。
本発明の第2の実施形態によれば、第1の実施形態の方法に従って動作するように構成されたコンピューティングデバイスが提供される。
本発明の第3の実施形態によれば、実施形態1の方法に従ってコンピューティングデバイスを動作させるオペレーティングシステムが提供される。
さて、図1を参照し例を紹介しながら、本発明の実施形態を説明する。
図1は、本発明の好ましい実施形態を示すものである。この実施形態において、このデバイスの中のCRLまたはOCSPクライアントは、2つの異なる方法を用いて無効化のためのチェックを行う。どちらの方法を選択するかは2つの条件のうちの1つが以下を保有するかに依存する。
(a)その証明書チェインは、信頼できる診断下にあるか?
そのデバイスにおいて既知のルート証明書または他の信頼できるアンカーと解明されるか?
(b)その証明書チェインは、信頼できない診断に基づいていないか?
そのデバイスにおいて既知のルート証明書ではないか、あるいは他の信頼できるアンカーではないと解明されるか?
以上は、図1のステップ10により示される。
(a)その証明書チェインは、信頼できる診断下にあるか?
そのデバイスにおいて既知のルート証明書または他の信頼できるアンカーと解明されるか?
(b)その証明書チェインは、信頼できない診断に基づいていないか?
そのデバイスにおいて既知のルート証明書ではないか、あるいは他の信頼できるアンカーではないと解明されるか?
以上は、図1のステップ10により示される。
もし上記の条件(a)に当てはまり、認証関連のX.509エクステンション(「cRL Distribution Points」 または 「AIA」)が存在するならば、このCRLまたはOCSPクライアントは、図1のステップ12および14に示されように、提供された失効情報を用いてどのエクステンションも受け入れて処理することになる。もしエクステンションが存在しなければ、このデバイスのOCSPクライアントは好みによってデフォルトの「信頼できるAIAの設定」を用い、それによって図1のステップ16に示されるように、それ自身の選択によるOSCP応答者とコンタクトする。
もし上記の条件(b)に当てはまるなら、CRLまたはOCSPクライアントが、存在する証明書において与えられた全ての認証関連のX.509エクステンション(「cRL Distribution Points」 または 「AIA」)を無視し、ステップ18のように、その代わりにデフォルトの「信頼されないAIAの設定」を用い、それによってそれ自身の選択によるOSCP応答者とコンタクトする。この「信頼されないAIAの設定」には、既知の失効した証明書の信頼できるリストが含まれる。
この信頼できるAIA設定および信頼されないAIA設定は、異なるOSCP応答者を必ずしも指定する必要はない。実際、同じOSCP応答者であってよい。
しかし、もし異なるOSCP応答者を指定すると、それに付随的する性能改善が可能となる。「信頼されないAIA」の役割を果たす任意のサーバは、OSCPの有効性チェックに突発的に失敗する誤りに対してリジェクトするようデバイスに実行させる応答を返すよりも、むしろ良く知られていない証明書に対して正しい応答を返すように改修することができる。この改善の背後には、特別クラスのデバイスためのソフトウェアの配布に係るユーザおよび他のパーティが、既知のマルウェアのケースを報告することに卓越しているという仮定がある。しかし、彼らがソフトウェアに対して良性であると判断するという知らせを返信する義務があるという状況には置かることはないであろうし、置かれるべきでない。
もちろん代替方法として、CRLにより「trusted cRL Distribution Points」および「untrusted cRL Distribution Points」の設定を用いて本発明を実施することも可能であるが、このようにしても以上に述べたOSCP改修よりも効率的でないことには、注意を要する。
本発明を用いることで次のような多くの有利な点が生じる。
−マルウェア作成者は、非マルウェアを除去する目的で署名をクローンすることができない。
−CRL/OSCPクライアントの振る舞いを改造することで、標準スキームにより自己署名の証明書を失効させることができる。好適なレスポンスを生成するために、マルウェア作成者は、クライアントを証明により指定されたサーバに積極的に向かわせることができない。
−自己署名の証明書は、本質的に発行者不在であるので、任意の自己署名の証明書を扱うように設計されたサーバを、特にこのブラックリスト上での証明書についての失敗のみを返すように改造することができる。
−このスキームはどの失効ドメインにも適用できる。
−オープンデバイスに関し、自己署名の証明書は実質的に無料であるので、この失効スキームは、より広い範囲のソフトウェア開発を可能にする。
−このスキームは更に、証明書チェインが信頼できるアンカー(X.509またはウェブ・オブ・トラスト)にトレースして戻れない場合に、どんなソフトウェアのインストールも拒絶する、高いセキュリティ・レベルを望む人にも対応できる。
−マルウェア作成者は、非マルウェアを除去する目的で署名をクローンすることができない。
−CRL/OSCPクライアントの振る舞いを改造することで、標準スキームにより自己署名の証明書を失効させることができる。好適なレスポンスを生成するために、マルウェア作成者は、クライアントを証明により指定されたサーバに積極的に向かわせることができない。
−自己署名の証明書は、本質的に発行者不在であるので、任意の自己署名の証明書を扱うように設計されたサーバを、特にこのブラックリスト上での証明書についての失敗のみを返すように改造することができる。
−このスキームはどの失効ドメインにも適用できる。
−オープンデバイスに関し、自己署名の証明書は実質的に無料であるので、この失効スキームは、より広い範囲のソフトウェア開発を可能にする。
−このスキームは更に、証明書チェインが信頼できるアンカー(X.509またはウェブ・オブ・トラスト)にトレースして戻れない場合に、どんなソフトウェアのインストールも拒絶する、高いセキュリティ・レベルを望む人にも対応できる。
本発明についてこれまで特別な実施形態につき記載してきたが、以下に記載する請求項によって定義された本発明の範囲内にとどまる限り、その修正に対し影響が及ぶことに留意いただきたい。
Claims (10)
- コンピューティングデバイスを動作させる方法であって、
予め格納された1以上の情報セットを前記コンピューティングデバイスに利用させることにより、ソフトウェアパッケージに含まれる1以上の一連の証明書により提供される証明書失効に係る情報を補足、交換、または無視することを特徴とするコンピューティングデバイスを動作させる方法。 - 前記ソフトウェアパッケージに含まれた前記一連の証明書が、前記コンピューティングデバイスに予め格納された信頼できる証明書を含むと解明されない場合、予め格納された証明書失効に係る情報を前記コンピューティングデバイスに利用させることを特徴とする請求項1に記載の方法。
- 前記予め格納された証明書失効に係る情報が、
a.前記ソフトウェアに含まれる前記一連の証明書が前記デバイスに格納された証明書を含むと解明された場合と、
b.前記ソフトウェアに含まれる前記証明書のどれもが、失効情報を含んでいない場合と
において使用される前記予め格納された証明書失効に係る情報とは異なることを特徴とする請求項2に記載の方法。 - 前記予め格納された証明書失効に係る情報が、
a.前記ソフトウェアに含まれる前記一連の証明書が、前記デバイスに格納された証明書を含むと解明された場合と、
b.前記ソフトウェアに含まれる前記証明書のどれもが、失効情報を含んでいない場合と
において使用される前記予め格納された証明書失効に係る情報と同じであることを特徴とする請求項2に記載の方法。 - 前記ソフトウェアパッケージに含まれた前記一連の証明書が、X.509の証明書を備え、前記証明書失効に係る情報は、CRL関連エクステンションかOSCP失効関連エクステンションのどちらかにより供給されることを特徴とする請求項1から4のいずれか1項に記載の方法。
- 前記予めコンピューティングデバイスに格納された情報は、
a.CRLサーバにアクセスするための「cRL Distribution Points」のようなCRL関連エクステンション、
および/または
b.OSCP応答者またはOSCPサーバにアクセスするための「Authority Info Access」のようなOSCP失効関連エクステンション、
を備えることを特徴とする請求項1から5のいずれか1項に記載の方法。 - 前記予め格納された情報がCRL関連エクステンションおよびOSCP失効関連エクステンションを備える場合、前記コンピューティングデバイスは前記CRL関連エクステンションを優先し、前記OSCP失効関連エクステンションを利用するように構成されることを特徴とする請求項6に記載の方法。
- 前記ソフトウェアに含まれた前記一連の証明書が信頼できる証明書の1つであると解明されない場合に利用された前記予め格納された情報が、非既知の証明書に対する肯定的応答を返信するためにOSCP応答者またはOSCPサーバへアクセスするために利用されることを特徴とする請求項1から7のいずれか1項に記載の方法。
- 請求項1から請求項8のいずれか1項に記載の方法を実行するように構成されたコンピューティングデバイス。
- 請求項1から請求項8のいずれか1項に記載の方法をコンピューティングデバイスに実行させるオペレーティングシステム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB0612933A GB2439574A (en) | 2006-06-29 | 2006-06-29 | Detecting revoked certificates for downloaded software |
| PCT/GB2007/002367 WO2008001060A1 (en) | 2006-06-29 | 2007-06-26 | Revoking malware in a computing device |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2010508567A true JP2010508567A (ja) | 2010-03-18 |
Family
ID=36888324
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009517383A Withdrawn JP2010508567A (ja) | 2006-06-29 | 2007-06-26 | コンピューティングデバイスにおけるマルウェアの無効化 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20100115269A1 (ja) |
| EP (1) | EP2038793A1 (ja) |
| JP (1) | JP2010508567A (ja) |
| CN (1) | CN101479736A (ja) |
| GB (1) | GB2439574A (ja) |
| WO (1) | WO2008001060A1 (ja) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101495535B1 (ko) * | 2007-06-22 | 2015-02-25 | 삼성전자주식회사 | 컨텐츠 디바이스의 폐기 여부를 확인하여 데이터를전송하는 전송 방법과 시스템, 데이터 서버 |
| US8321538B2 (en) * | 2007-09-24 | 2012-11-27 | Hewlett-Packard Development Company, L.P. | Autonomous network device configuration method |
| US20120173874A1 (en) * | 2011-01-04 | 2012-07-05 | Qualcomm Incorporated | Method And Apparatus For Protecting Against A Rogue Certificate |
| EP2873668A1 (en) | 2013-11-13 | 2015-05-20 | Syngenta Participations AG. | Pesticidally active bicyclic heterocycles with sulphur containing substituents |
| US10313324B2 (en) | 2014-12-02 | 2019-06-04 | AO Kaspersky Lab | System and method for antivirus checking of files based on level of trust of their digital certificates |
| CN104504328B (zh) * | 2014-12-31 | 2017-12-15 | 株洲南车时代电气股份有限公司 | 一种软件归属的验证方法及装置 |
| US10642976B2 (en) * | 2015-06-27 | 2020-05-05 | Mcafee, Llc | Malware detection using a digital certificate |
| US10867055B2 (en) | 2017-12-28 | 2020-12-15 | Corlina, Inc. | System and method for monitoring the trustworthiness of a networked system |
| US11509636B2 (en) * | 2018-01-30 | 2022-11-22 | Corlina, Inc. | User and device onboarding |
| WO2019229089A1 (en) | 2018-05-31 | 2019-12-05 | Syngenta Participations Ag | Pesticidally active heterocyclic derivatives with sulfur containing substituents |
| US10977024B2 (en) * | 2018-06-15 | 2021-04-13 | Sierra Wireless, Inc. | Method and apparatus for secure software update |
| JP2022549417A (ja) | 2019-09-20 | 2022-11-25 | シンジェンタ クロップ プロテクション アクチェンゲゼルシャフト | 硫黄及びスルホキシミン含有置換基を有する殺有害生物的に活性な複素環式誘導体 |
| CN110704815A (zh) * | 2019-09-29 | 2020-01-17 | 北京数字认证股份有限公司 | 数据包代码签名及其验证方法、装置、系统及存储介质 |
| CA3221102A1 (en) | 2021-06-02 | 2022-12-08 | Michel Muehlebach | Pesticidally active heterocyclic derivatives with sulfoximine containing substituents |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6167520A (en) * | 1996-11-08 | 2000-12-26 | Finjan Software, Inc. | System and method for protecting a client during runtime from hostile downloadables |
| US5892904A (en) * | 1996-12-06 | 1999-04-06 | Microsoft Corporation | Code certification for network transmission |
| US6263348B1 (en) * | 1998-07-01 | 2001-07-17 | Serena Software International, Inc. | Method and apparatus for identifying the existence of differences between two files |
| AU4674300A (en) * | 1999-05-25 | 2000-12-12 | Motorola, Inc. | Pre-verification of applications in mobile computing |
| US7281267B2 (en) * | 2001-02-20 | 2007-10-09 | Mcafee, Inc. | Software audit system |
| US7434259B2 (en) * | 2002-10-21 | 2008-10-07 | Microsoft Corporation | Method for prompting a user to install and execute an unauthenticated computer application |
| JP4105070B2 (ja) * | 2003-09-24 | 2008-06-18 | Kddi株式会社 | 証明書失効状態確認方法および端末装置 |
| US20050154878A1 (en) * | 2004-01-09 | 2005-07-14 | David Engberg | Signature-efficient real time credentials for OCSP and distributed OCSP |
-
2006
- 2006-06-29 GB GB0612933A patent/GB2439574A/en not_active Withdrawn
-
2007
- 2007-06-26 CN CN200780023826.8A patent/CN101479736A/zh active Pending
- 2007-06-26 JP JP2009517383A patent/JP2010508567A/ja not_active Withdrawn
- 2007-06-26 WO PCT/GB2007/002367 patent/WO2008001060A1/en active Application Filing
- 2007-06-26 EP EP07733360A patent/EP2038793A1/en not_active Withdrawn
- 2007-06-26 US US12/306,343 patent/US20100115269A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| US20100115269A1 (en) | 2010-05-06 |
| GB0612933D0 (en) | 2006-08-09 |
| GB2439574A (en) | 2008-01-02 |
| WO2008001060A1 (en) | 2008-01-03 |
| CN101479736A (zh) | 2009-07-08 |
| EP2038793A1 (en) | 2009-03-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2010508567A (ja) | コンピューティングデバイスにおけるマルウェアの無効化 | |
| US9998438B2 (en) | Verifying the security of a remote server | |
| US8621591B2 (en) | Software signing certificate reputation model | |
| EP2882156B1 (en) | Computer implemented method and a computer system to prevent security problems in the use of digital certificates in code signing and a computer program product thereof | |
| Poritz et al. | Property attestation—scalable and privacy-friendly security assessment of peer computers | |
| US6381698B1 (en) | System and method for providing assurance to a host that a piece of software possesses a particular property | |
| US6148401A (en) | System and method for providing assurance to a host that a piece of software possesses a particular property | |
| EP2080142B1 (en) | Attestation of computing platforms | |
| US10270602B2 (en) | Verifying and enforcing certificate use | |
| US9077546B1 (en) | Two factor validation and security response of SSL certificates | |
| US20050251857A1 (en) | Method and device for verifying the security of a computing platform | |
| CN113302893B (zh) | 用于信任验证的方法及装置 | |
| US8607305B2 (en) | Collecting anonymous and traceable telemetry | |
| CN101043338A (zh) | 基于安全需求的远程证明方法及其系统 | |
| Böck et al. | Towards more trustable log files for digital forensics by means of “trusted computing” | |
| JP2008005156A (ja) | 情報処理端末および状態通知方法 | |
| US20090288155A1 (en) | Determining an identity of a third-party user in an saml implementation of a web-service | |
| US9665711B1 (en) | Managing and classifying states | |
| US7743145B2 (en) | Verifying measurable aspects associated with a module | |
| Osterweil et al. | The shape and size of threats: Defining a networked system's attack surface | |
| CN115550060A (zh) | 基于区块链的可信证书验证方法、装置、设备和介质 | |
| Lucyantie et al. | Attestation with trusted configuration machine | |
| Zheng et al. | Building secure distributed applications the DECENT way | |
| CN115549948A (zh) | 一种基于可信计算的去中心信任链认证方法、系统及介质 | |
| Fongen et al. | Trust Through Origin and Integrity: Protection of Client Code for Improved Cloud Security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20100907 |