• Revogações são Insuficientes para Certificados Comprometidos

    Publicado em 19-11-2011 00:12
    0 Comentários Comentários
    A revogação de um certificado digital, não invalida automaticamente, por exemplo, assinaturas de software que foram feitas com este certificado. O que importa é a data de revogação, que determina o ponto no tempo após o qual uma assinatura não será mais validada. De acordo com um relatório da especialista em anti-vírus Norman, as assinaturas de vários trojans descobertas recentemente, foram validadas pelo Windows, e como resultado, nenhum aviso foi emitido antes de instalar o malware.

    Os trojans foram assinados com uma chave que tinha sido roubada de uma empresa japonesa. O certificado correspondente foi relatado como comprometido em 29 de Julho de 2011 e revogado pelo Certificate Authority (CA), a VeriSign, que é agora parte integrante da Symantec. No entanto, essa data também foi inserida como a data de revogação.


    Saiba Mais:


    [1] Malware Detection Team http://blogs.norman.com/2011/malware...ning-conundrum
    + Enviar Comentário