업데토토사이트 잘못환전 : 2014 년 2 월 12 일
2013 년 8 월 중순에 Microsoft는 MD5 해시와 함께 토토사이트 잘못환전 사용을 제한 (더 이상 사용하지 않은) 업데이트를 발표했습니다.
업데이트를 적용하면 CertGetCertificateChain 기능을 호출하는 Microsoft 또는 타사 제품은 더 이상 MD5 HASH를 포함하는 신뢰 토토사이트 잘못환전가 아닙니다.
이러한 이유로 먼저 인증서에 사용 된 토토사이트 잘못환전 해시 알고리즘을 확인하고 업데이트가 적용된 환경에서 작업을 확인해야합니다.
토토사이트 잘못환전 해시 알고리즘을 확인할 때 명심해야 할 사항이 있습니다.
"신뢰할 수있는 루트 토토사이트 잘못환전 (그림 10 : 토토사이트 잘못환전 관리자)와 같은 정책 설정을 신뢰하는 인증서는 토토사이트 잘못환전 해시 알고리즘에 관계없이 신뢰됩니다.
업데이트 점검은 MD5 토토사이트 잘못환전 해시 알고리즘이 다른 인증서에 대해 포함되어 있는지 확인합니다 (정책 설정에서 신뢰할 수있는 인증서 제외).
Windows 환경의 파일에 저장된 Authenticode 토토사이트 잘못환전은 PKCS #7의 SignedData 형식으로 구성되며 ASN.1 (Abstract Syntax Exation One)에 파일에 저장됩니다.
SignedData :: = 시퀀스
ContentInfo에는 PKCS #7의 SignedData 형태로 저장된 내용에 대한 정보가 포함되어 있습니다.
이 예제는 파일 Winsdk_web.exe (Windows 7.1 설정 용 Microsoft Windows SDK)를 사용합니다 (그림 1) 및
그림 1 : 파일의 속성 winsdk_web.exe
파일 Winsdk_web.exe의 경우, Authenticode 토토사이트 잘못환전은 ASN에 저장됩니다.
그림 2 : authenticode 토토사이트 잘못환전 파일에 저장된 Winsdk_web.exe
저장된 Authenticode 토토사이트 잘못환전의 경우 [파일 속성 | 디지털 토토사이트 잘못환전]
그림 3 : PE 파일에 저장된 디지털 토토사이트 잘못환전 확인
여기에서 ASN.1 뷰어를 사용하여 내용을 살펴 보겠습니다. 파일에 저장된 Authenticode 토토사이트 잘못환전을 추출하여 Winsdk_web.exe를 바이너리 데이터로 추출하고 ASN.1을 해석하고 표시합니다.
-PKCS7-SIGNEDDATA
-+ SHA1
- 1.3.6.1.4.1.311.2.1.4 (SPC_INDIRECT_DATA_OBJID) ... Microsoft 암호화 OID
Microsoft 암호화의 OIDS는 토토사이트 잘못환전 관련 소프트웨어 게시로 정의 된 다음 OID를 가지고 있습니다.
토토사이트 잘못환전 ....... 1.3.6.1.4.1.311.2
토토사이트 잘못환전에는 4 개의 토토사이트 잘못환전가 포함되어 있습니다.
----- 2
그림 4 : 일련 번호 : 2EAB11DC50FF5C9DCBC0
[X.509 인증서 (그림 3 코드 토토사이트 잘못환전 C2)]
---- 2
그림 5 : 일련 번호 : 6101CF3E00000000F
[X.509 인증서 (그림 3 코드 토토사이트 잘못환전 C3)
---- 2
그림 6 : 일련 번호 : 6A0B994FC00025AB11DB451F587A67A2
[X.509 인증서 (그림 3 타임 스탬프 토토사이트 잘못환전 T2)]
---- 2
그림 7 : 일련 번호 : 6106942D0000009
[X.509 인증서 (그림 3 타임 스탬프 토토사이트 잘못환전 T3)
SignerInfos에는 두 개의 토토사이트 잘못환전이 포함되어 있습니다.
--- 1
그림 8 : 일련 번호 : 6101CF3E00000000F
[그림 3 코드 토토사이트 잘못환전 C]
--- 카운터 토토사이트 잘못환전
그림 9 : 일련 번호 : 6106942D0000009
[그림 3 타임 스탬프 토토사이트 잘못환전 C]
certgetCertificatechain 함수는 가장 낮은 토토사이트 잘못환전에서 가장 높은 토토사이트 잘못환전 및 최고 토토사이트 잘못환전 (루트 토토사이트 잘못환전)로 일련의 토토사이트 잘못환전 (인증 체인)를 검색하는 기능입니다.
파일의 Authenticode 토토사이트 잘못환전 잘못환전 잘못환전에 대한 인증서 Winsdk_web.exe는 4 가지 인증서를 포함합니다. 코드 토토사이트 잘못환전 잘못환전 잘못환전에 대한 X.509 인증서 (그림 3, 코드 토토사이트 잘못환전 잘못환전 잘못환전 C2-C3) 및 시간 스탬프 토토사이트 잘못환전 잘못환전 잘못환전에 대한 X.509 인증서 (그림 3, Timestamp Signatures T2-T3).
그림 10 : 토토사이트 잘못환전 관리자
그림 11 : 일련 번호 : C1008B3C3C8811D13EF663ECDF40
[x.509 인증서 (그림 3 코드 토토사이트 잘못환전 C1, 타임 스탬프 토토사이트 잘못환전 T1)
토토사이트 잘못환전 도구 SignTool을 사용하면 인증 체인 사용과 MD5 해시와 함께 인증서 사용을 제한 (감가 상승)하는 업데이트의 영향을 볼 수 있습니다.
#signtool verify /pa /v /d winsdk_web.exeX.509 인증서 (그림 3 코드 토토사이트 잘못환전 C1)발행 : Microsoft Root AuthorityX.509 인증서 (그림 3 코드 토토사이트 잘못환전 C2)발행 : Microsoft 코드 토토사이트 잘못환전 PCAX.509 인증서 (그림 3 코드 토토사이트 잘못환전 C3)발행 : Microsoft CorporationX.509 인증서 (그림 3 타임 스탬프 토토사이트 잘못환전 T1)발행 : Microsoft Root AuthorityX.509 인증서 (그림 3 타임 스탬프 토토사이트 잘못환전 T2)발행 : Microsoft 타임 스탬핑 PCAX.509 인증서 (그림 3 타임 스탬프 토토사이트 잘못환전 T3)발행 : Microsoft Time-Stamp Service
[파일 속성 | Digital Signature], 각 X.509 인증서에 사용 된 토토사이트 잘못환전 해시 알고리즘을 확인하십시오.
여기, MD5는 코드 토토사이트 잘못환전에 대한 X.509 인증서 [Code Signature C1] 및 X.509 인증서 [타임 스탬프 토토사이트 잘못환전 T1]에 대한 X.509 인증서에 대한 토토사이트 잘못환전 해시 알고리즘으로 사용됩니다.그림 10 : 토토사이트 잘못환전 관리자)에 등록되어 있으므로 업데이트 프로그램으로 인해 제한이 적용되지 않으므로 총 6 개의 X.509 토토사이트 잘못환전가 업데이트 프로그램의 영향을받지 않는다고 결정할 수 있습니다.
그림 11 : X.509 코드 토토사이트 잘못환전에 대한 인증서
그림 12 : X.509 타임 스탬프 토토사이트 잘못환전에 대한 인증서
책임 : Terada, Numata, Onishi/Hirt
