locked
ソフトの証明書 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    Windows7を使っている母親(高齢)から
    「ソフトをアップデートしろと出たので、その通りしたら
    画面が黒くなった。」
    と質問を受けました。単なるユーザーアカウント制御で
    問題ないと返事したのですが、

    そこで、1つ余計なことを言ってしまいました。

    「UACのダイアログにアップデートのソフトの証明書を
    見るリンクが有る筈なので、それを確認するといいので
    は?」です。

    また質問を受けました。
    「証明書の期限が切れている。」です。

    実家に出向き、見たら確かに切れていました。でも、
    赤×では無く、問題なく続行できました。

    ----

    後で調べた所、ソフトの証明書にはタイムスタンプという
    追加機能が有り、それが有るとソフトの証明書の期限が
    切れていても、
    “ソフトの証明書を付加して時点(当然期限内)はいついつ
    かタイムスタンプが証明する”ので、インストールは
    問題なく続行できる
    との事でした。
    http://msdn.microsoft.com/ja-jp/library/cc376915.aspx で、
    『証明書の失効後もその署名は有効になります』

    しかしさらに調べると、タイムスタンプというのは
    単なる第三者の証明書に過ぎない様に思えてきました。

    ここで質問です。
    タイムスタンプというのは、
    ・永遠は有る
    ・タイムスタンプの証明書の期限(長い)が切れたら終わり
    ・切れたら自動的に延長
    ・切れたら手動で延長
    ・その他
    のどれでしょうか?

    くわぢ
    2012年1月14日 0:08

回答

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    ここで質問です。
    タイムスタンプというのは、
    (略)
    のどれでしょうか?

    この場合のタイムスタンプとは、その証明書を持つ発行者(署名者)が署名を行った日時です。
    単なる日時なので、そのタイムスタンプが変わるとか、有効期限があるとかそういったものではありません。

    参考
    Q:[A] タイムスタンピング・サービスとは何ですか
    Q:[A] タイムスタンプ署名したソフトウェアは、証明書の期限切れ後どうなりますか
    Q:[A] 署名したソフトウェアは、証明書の期限切れ後どうなりますか

    しかしさらに調べると、タイムスタンプというのは
    単なる第三者の証明書に過ぎない様に思えてきました。

    ここでいう「単なる第三者の証明書に過ぎない」というニュアンスがよくわかりません。
    ”信頼できない”というニュアンスで書かれているのでしょうか?

    証明書がどういったものかは私から正確には、説明できないのでいろいろと調べてみてください。

    証明書の発行対象者本人であることを永久保障することは危険です。なぜならその証明書が紛失・盗難・流出にあうかもしれません。
    せいぜい 1 年から数年程度の有効期間となりますが、そのたびにすべてのソフトウェアを再署名して配り直すのは大変です。そこで、署名を行った日付(タイムスタンプ)を保障することで、有効期限内に署名されたことを確認し、再署名を不要にしているのだと思います。

    # 保障するのは確かに第三者かもしれません。
    # ただ、それは CA と呼ばれる存在なので、よくわからない人・組織というほど、信頼できないものではありません。

    質問スレッドで解決した場合は、解決の参考になった投稿に対して「回答としてマーク」のボタンを押すことで、同じ問題に遭遇した別のユーザが役立つ投稿を見つけやすくなります。
    2012年1月14日 3:56
  • Question
    サインインして投票
    0
    サインインして投票

    >しかしさらに調べると、タイムスタンプというのは
    >単なる第三者の証明書に過ぎない様に思えてきました。

    >ここでいう「単なる第三者の証明書に過ぎない」というニュアンスがよくわかりません。
    >”信頼できない”というニュアンスで書かれているのでしょうか?


    タイムスタンプが「証明書」(=発行対象者本人であることを永久保障することは危険なもの)的な何かで実装されているのでは、という疑いです。

    もしタイムスタンプが、証明する対象に平文でただくっつけているだけだとするなら、あまりに脆弱で、さすがにそんなことは無いだろうと推測し、だったら、そうじゃ無い何かだろうと思い、だったらそのやり方は「証明書」だろうと考えてしまったのでした。

    (信頼できない)第三者というつもりは全くなく、タイムスタンプを発行する業者は世の中で重きを成している所ばかりと思います。ただ、その様な所でも、「永遠はあるよ」と保証するのは、さすがに無いのではとおもったのでした。

    永遠は有るのでしょうか?

    くわぢ
    2012年1月14日 6:34
  • Question
    サインインして投票
    0
    サインインして投票

    ないと考えておいた方がいいと思います。証明書機関が誤って無関係な第三者に証明書を発行してしまった場合などにおいて、その会社の証明書を失効させるということがしばしば行われます。この処理はWindows 7の場合ネットワークに接続していれば自動的に行われます。

    http://www.atmarkit.co.jp/news/201103/24/comodo.html

    http://blogs.technet.com/b/jpsecurity/archive/2011/09/07/3451476.aspx

    Thanks,K.Kamegawa (http://d.hatena.ne.jp/kkamegawa/)
    • 回答としてマーク kuwadgi 2012年1月14日 9:44
    2012年1月14日 9:21