何となく Blog by Jitta
Microsoft .NET 考

目次

Blog 利用状況
  • 投稿数 - 591
  • 記事 - 18
  • コメント - 2182
  • トラックバック - 183
ニュース
  • 検索エンジンで来られた方へ:
    お望みの情報は見つかりましたか? よろしければ、コメント欄にどのような情報を探していたのか、ご記入ください。
It's ME!
  • はなおか じった
  • 世界遺産の近くに住んでます。
  • Microsoft MVP for Visual Developer ASP/ASP.NET 10, 2004 - 9, 2009
サイト内検索
広告

記事カテゴリ

書庫

日記カテゴリ

ギャラリ

その他

わんくま同盟

同郷

 
反応が遅くなりましたが、コード署名について

以前のエントリで、「昇格には署名が必要になります」ということについて、シャノンさんから
これはまぢで?
いよいよ強硬策に出てきましたね…MS。
Authenticode署名なんて個人じゃ取得できねぇってのに。
と、コメントをいただいていました。

まぢです。

「昇格する」ということは、「コンピュータの管理に関わる動作をする」ということです。ここで署名が必要なのは、「連絡先が明らかである必要がある」ということです。

つまり、「オレオレ証明書」であっても、そのアプリケーションが第三者によって改変されていないことが保証でき、作成者に連絡ができる証明書が添付されているなら、ホビー プログラマが配布するアプリケーションが「オレオレ証明書」であってもかまわないのです。

そういえば、わんくま内で Thawte かどこかの証明ネットワークを作ろうって話があったよね?手を挙げるの忘れてた。ごめん、今挙げる。見てたら連絡ちょうだい(ぉぃ

投稿日時 : 2007年4月19日 21:35
コメント
  • # re: 反応が遅くなりましたが、コード署名について
    Jitta
    Posted @ 2007/04/19 21:36
    あ~、鍵の保管が適切でなければ、改変される危険性はあります。
  • # re: 反応が遅くなりましたが、コード署名について
    とっちゃん
    Posted @ 2007/04/19 23:36
    署名なしでも、昇格はできますよ。
    #もちろん、manifest での昇格です

    画面がそれでいいか?はべつとしてw

    ちなみに、署名なしと、おれおれ証明書の署名つきの結果は同じです。
    #ここでの署名は改変されていないことの保証ではなく、どこのだれが作ったものかを表示するのに使ってるので。

    なので、昇格が必要なアプリは、正規ルートで証明書を用意するのがただしいあり方。


    で、もうひとつ致命的な問題は、msi なアンインストーラ。
    署名付けておいても、黄色で出ます。
    修復ほか、何やる場合「でも」です。
    #新規インストールでは、署名付きで昇格の場合でもです

    って、まえにここに書いてあったようなw
    ま、そんなこんなでどうなるかってので、あちこちから
    刺されまくるのではないかと...

    現行の仕組みではどうすることもできない問題なんだけどねw
  • # re: 反応が遅くなりましたが、コード署名について
    Jitta
    Posted @ 2007/04/20 8:34
    ごめん
    将来的な話

    それが次のOSか、SPかは不明
    将来的に必要になるとは、明記されています
  • # re: 反応が遅くなりましたが、コード署名について
    シャノン
    Posted @ 2007/04/20 9:58
    うーん…

    > ちなみに、署名なしと、おれおれ証明書の署名つきの結果は同じです。
    > #ここでの署名は改変されていないことの保証ではなく、どこのだれが作ったものかを表示するのに使ってるので。
    > なので、昇格が必要なアプリは、正規ルートで証明書を用意するのがただしいあり方。

    オレオレ証明書だと(オレオレじゃなくても無料のだと)、正しい連絡先が書いてある保証がないわけで…

    必要な証明書もいろいろあるようで、ドライバ署名なんかだと Verisign のしか使えなかったような。
    オレオレじゃない正規の証明書でもコード署名に使えるのはありますが、イコール Authenticode 証明書というわけでもないみたい?
    まぁ、昇格用証明書が Authenticode 証明書だというのは俺の勘違いなわけですが。

    > 見てたら連絡ちょうだい(ぉぃ

    見てますw
    ただ、ちょっと考えなおし中…。

    あ、これ、先日ゲットしたマイ証明書ですw
    ldap://directory.globalsign.net/dc=globalsign,dc=net??sub?(cn=Kazunori%20Ohwashi)
  • # re: 反応が遅くなりましたが、コード署名について
    とっちゃん
    Posted @ 2007/04/20 15:08
    >将来的な話
    あ、そっちか。将来はってほうはありましたねw

    現在進行形で仕事がこのネタなんで、もうどうやってメールにまとめるかで、何日も頭抱えてますw

    とにかく、要点は伝えないといけないし、かといって長文では読んでくれない可能性が高い。

    まぁ、アプリ側なんで、AsInvoker をつけるってことを確実にやれ!と書くだけなんですが...
    危機感持ってもらうことが必要なんで...orz
    #いっそ出向いて、講釈たれたほうがよっぽど...w

    なんか、中途半端に変な知識持っててほんと洒落になんねーっす...
    聞きかじりで言ってくるからそれってなに?って問い詰めると、答え帰ってこないんですよね。
    そのくせ、訳わからんのにやれという...

    仕組みを理解する努力をしてくれよと...
    名前が出るってどういう意味かを考えてくれよと...orz
    #今年は本気で疲れるわ...orz
  • # re: 反応が遅くなりましたが、コード署名について
    Jitta
    Posted @ 2007/04/21 15:14
    > ただ、ちょっと考えなおし中…。
    了解。まとまったら連絡ください。

    > 仕組みを理解する努力をしてくれよと...
    日本語も増えてきたけど、英語がメイン。かつ、URL が変わってるよ(涙)
    過去記事のリンク、張り直そうかなぁ?
  • # re: 反応が遅くなりましたが、コード署名について
    とっちゃん
    Posted @ 2007/04/21 16:45
    >日本語も増えてきたけど、英語がメイン。
    英語サイトだと見てくれねーですよ...
    よくて、日本語資料ありませんか?ですw
    ないから、英語だって言うのにねぇ...orz

    >過去記事のリンク、張り直そうかなぁ?

    おいらは見たいですw

    というか、新エントリーで一覧があると、お気に入りにw<自分でやれよ!

  • # re: 反応が遅くなりましたが、コード署名について
    シャノン
    Posted @ 2007/04/22 21:22
    >> ただ、ちょっと考えなおし中…。
    > 了解。まとまったら連絡ください。

    今のところ、Thawte路線では考えていません。GlobalSignで証明書とっちゃったし。
タイトル  
名前  
Url
コメント   
 
Powered by:

Copyright © はなおか じった